CVE-2026-48307
WysokieCVSS 8.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 23 — wyżej niż 23% wszystkich znanych CVE
Streszczenie
Podatność odbita XSS w ColdFusion w wersjach 2025.9, 2023.20 i wcześniejszych. Atakujący może wstrzyknąć złośliwy skrypt do strony, co może prowadzić do wykonania dowolnego kodu w kontekście bieżącego użytkownika. Wymagana jest interakcja ofiary (kliknięcie w link).
Ocena ryzyka
Ryzyko polega na możliwości przejęcia sesji użytkownika, kradzieży danych lub wykonania nieautoryzowanych działań w aplikacji. Atak wymaga jednak kliknięcia w spreparowany link przez ofiarę.
Rekomendacja
Zaleca się natychmiastową aktualizację ColdFusion do wersji 2025.10 lub 2023.21 (lub nowszej). Należy również rozważyć stosowanie filtrów wejściowych i mechanizmów Content Security Policy (CSP).
Oryginalny opis (angielski, źródło NVD)
ColdFusion versions 2025.9, 2023.20 and earlier are affected by a reflected Cross-Site Scripting (XSS) vulnerability. An attacker could exploit this vulnerability to inject malicious scripts into a web page, potentially resulting in arbitrary code execution in the context of the current user. Exploitation of this issue requires user interaction in that a victim must open a malicious link. Scope is changed.

