ColdFusion | प्रतिबंधित निर्देशिका में पथनाम की अनुचित सीमा ('Path Traversal') (CWE-22)

यह Path Traversal भेद्यता हमलावरों को ColdFusion सर्वर पर संग्रहीत संवेदनशील डेटा तक पहुँचने की अनुमति देती है। हमलावर सर्वर फ़ाइल सिस्टम में मनमाने ढंग से पथों का उपयोग करके, उन फ़ाइलों तक पहुँच सकते हैं जिन्हें वे एक्सेस करने के लिए अधिकृत नहीं हैं। इसमें कॉन्फ़िगरेशन फ़ाइलें, डेटाबेस क्रेडेंशियल और अन्य गोपनीय जानकारी शामिल हो सकती है। इस भेद्यता का उपयोग सर्वर पर कोड निष्पादित करने या अन्य दुर्भावनापूर्ण गतिविधियों को करने के लिए भी किया जा सकता है। इस तरह के शोषण से डेटा उल्लंघन, सिस्टम समझौता और सेवा व्यवधान हो सकता है।

Organizations running ColdFusion applications, particularly those with sensitive data stored on the server, are at risk. This includes businesses relying on ColdFusion for web applications, e-commerce platforms, and internal systems. Legacy ColdFusion deployments and those with weak file system permissions are especially vulnerable.

• coldfusion:

Get-ChildItem -Path "C:\ColdFusion\wwwroot\" -Recurse -ErrorAction SilentlyContinue | Where-Object {$_.FullName -match '\.\.\'}

• generic web:

curl -I http://your-coldfusion-server/../../../../etc/passwd

1. 2026-04-14Disclosure

   disclosure

1. आरक्षित2026-02-18
2. प्रकाशित2026-04-14
3. संशोधित2026-04-16
4. EPSS अद्यतन2026-04-22

CVE-2026-27305 के प्रभाव को कम करने के लिए, ColdFusion को संस्करण 2025.6 या बाद के संस्करण में तुरंत अपडेट करना महत्वपूर्ण है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल सिस्टम एक्सेस को प्रतिबंधित करने के लिए ColdFusion सर्वर पर सख्त एक्सेस नियंत्रण लागू करें। फ़ायरवॉल नियमों का उपयोग करके अनधिकृत एक्सेस को ब्लॉक करें और वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके दुर्भावनापूर्ण अनुरोधों को फ़िल्टर करें। ColdFusion कॉन्फ़िगरेशन फ़ाइलों की नियमित रूप से निगरानी करें और किसी भी अनधिकृत परिवर्तन की जांच करें।