CVE-2026-48313
KrytyczneCVSS 9.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 38 — wyżej niż 38% wszystkich znanych CVE
Streszczenie
Podatność typu Path Traversal w ColdFusion w wersjach 2025.9, 2023.20 i wcześniejszych umożliwia nieautoryzowany odczyt plików oraz ograniczony zapis poza dozwolonym katalogiem. Atakujący może wykorzystać tę lukę bez interakcji użytkownika, uzyskując dostęp do wrażliwych danych.
Ocena ryzyka
Ryzyko polega na możliwości wycieku poufnych plików konfiguracyjnych, danych użytkowników lub kodu źródłowego, a także potencjalnej modyfikacji wybranych plików, co może prowadzić do dalszej eskalacji ataku.
Rekomendacja
Należy niezwłocznie zaktualizować ColdFusion do wersji 2025.10 lub nowszej (dla gałęzi 2025) oraz 2023.21 lub nowszej (dla gałęzi 2023). W międzyczasie ograniczyć dostęp do serwera i monitorować logi pod kątem podejrzanych żądań.
Oryginalny opis (angielski, źródło NVD)
ColdFusion versions 2025.9, 2023.20 and earlier are affected by an Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') vulnerability that could lead to arbitrary file system read and limited write access. An attacker could exploit this vulnerability to access sensitive files and directories outside the intended access scope. Exploitation of this issue does not require user interaction. Scope is changed.

