Plateforme
coldfusion
Composant
coldfusion
Corrigé dans
2025.6.1
Une vulnérabilité de contournement de chemin (Path Traversal) a été découverte dans ColdFusion, affectant les versions de 0.0.0 à 2025.6. Cette faille permet à un attaquant de contourner les restrictions de répertoire et d'accéder à des fichiers et des dossiers sensibles en dehors des limites autorisées. La vulnérabilité a été publiée le 14 avril 2026 et une correction est disponible dans la version 2025.6.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'accéder à des fichiers sensibles situés en dehors du répertoire prévu. Cela peut inclure des fichiers de configuration, des données sensibles, ou même des fichiers exécutables, compromettant potentiellement la confidentialité, l'intégrité et la disponibilité du système ColdFusion. Un attaquant pourrait également utiliser cette vulnérabilité pour exécuter du code arbitraire sur le serveur, en fonction des permissions du compte sous lequel ColdFusion s'exécute. Bien que l'exploitation ne nécessite pas d'interaction de l'utilisateur, la complexité de l'exploitation dépendra de la configuration du serveur et des permissions des fichiers.
Cette vulnérabilité a été rendue publique le 14 avril 2026. Il n'y a pas d'indications d'une inclusion dans le KEV de CISA à ce jour. La disponibilité d'une preuve de concept (PoC) publique est inconnue, mais la nature de la vulnérabilité (Path Traversal) suggère qu'une PoC pourrait être développée relativement facilement. Surveillez les forums de sécurité et les dépôts de code pour détecter l'émergence de PoCs ou d'exploits.
Organizations running ColdFusion applications, particularly those with sensitive data stored on the server, are at risk. Shared hosting environments where multiple users share the same server instance are especially vulnerable, as a compromise of one user's ColdFusion application could potentially expose data from other users.
• coldfusion: Examine ColdFusion request logs for suspicious patterns like '../' or '\\'.
• generic web: Use curl to test for path traversal by attempting to access files outside the expected directory structure. For example: curl 'http://coldfusion-server/..\.\.\.\.\/etc/passwd'
• generic web: Check access and error logs for unusual file access attempts or errors related to unauthorized file access.
• generic web: Review response headers for unexpected content or file types.
disclosure
Statut de l'Exploit
EPSS
0.07% (percentile 21%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour ColdFusion vers la version 2025.6 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas possible immédiatement, envisagez de renforcer les restrictions d'accès aux fichiers et répertoires sur le serveur ColdFusion. Des règles de pare-feu applicatif (WAF) peuvent être configurées pour bloquer les requêtes suspectes contenant des séquences de contournement de chemin (par exemple, '..'). Vérifiez également les permissions des fichiers et répertoires pour vous assurer que ColdFusion n'a accès qu'aux ressources nécessaires à son fonctionnement. Après la mise à jour, vérifiez l'intégrité des fichiers ColdFusion pour détecter toute modification non autorisée.
Adobe recomienda actualizar a una versión corregida de ColdFusion, como 2025.6 o posterior, para mitigar la vulnerabilidad de recorrido de ruta. Consulte la página de Adobe Security Advisory para obtener instrucciones detalladas sobre cómo aplicar la actualización y obtener más información sobre la vulnerabilidad.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-34619 is a Path Traversal vulnerability affecting ColdFusion versions 0.0.0–2025.6, allowing attackers to access unauthorized files.
If you are running ColdFusion versions 0.0.0 through 2025.6, you are potentially affected by this vulnerability.
Upgrade to ColdFusion version 2025.6 or later to resolve the vulnerability. Consider WAF rules as a temporary workaround.
While no active exploitation has been confirmed, the vulnerability's nature suggests a potential for exploitation, so vigilance is advised.
Refer to the official Adobe Security Bulletin for details: [https://www.adobe.com/security/advisories/CVE-2026-34619.html](https://www.adobe.com/security/advisories/CVE-2026-34619.html)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.