प्लेटफ़ॉर्म
coldfusion
घटक
coldfusion
में ठीक किया गया
2025.6.1
ColdFusion में एक पथ पारगमन (Path Traversal) भेद्यता पाई गई है, जो अनधिकृत फ़ाइलों या निर्देशिकाओं तक पहुँचने की अनुमति दे सकती है। यह भेद्यता ColdFusion के संस्करण 2023.18, 2025.6 और उससे पहले के संस्करणों को प्रभावित करती है। हमलावरों को उपयोगकर्ता की बातचीत की आवश्यकता के बिना इस भेद्यता का फायदा उठाने की क्षमता है। ColdFusion 2025.6 में अपडेट करके इस समस्या का समाधान किया जा सकता है।
यह भेद्यता हमलावरों को ColdFusion सर्वर पर संग्रहीत संवेदनशील डेटा तक पहुँचने की अनुमति दे सकती है। वे अनधिकृत फ़ाइलों को पढ़ सकते हैं, संशोधित कर सकते हैं या हटा सकते हैं, जिससे सिस्टम की सुरक्षा और अखंडता से समझौता हो सकता है। संभावित प्रभाव में गोपनीय जानकारी का खुलासा, सिस्टम का समझौता और सेवा से इनकार शामिल हैं। इस भेद्यता का फायदा उठाने के लिए हमलावर को ColdFusion सर्वर तक पहुँच की आवश्यकता होगी। यह भेद्यता अन्य पथ पारगमन भेद्यताओं के समान है, जहां हमलावर फ़ाइल सिस्टम में अनधिकृत स्थानों तक पहुँचने के लिए फ़ाइल पथों में हेरफेर करते हैं।
CVE-2026-34619 को अभी तक CISA KEV सूची में शामिल नहीं किया गया है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, इसका शोषण किया जा सकता है। NVD और CISA ने 2026-04-14 को इस भेद्यता को प्रकाशित किया। इस भेद्यता का सक्रिय रूप से शोषण किया जा रहा है या नहीं, इसकी जानकारी अभी उपलब्ध नहीं है।
Organizations running ColdFusion applications, particularly those with sensitive data stored on the server, are at risk. Shared hosting environments where multiple users share the same server instance are especially vulnerable, as a compromise of one user's ColdFusion application could potentially expose data from other users.
• coldfusion: Examine ColdFusion request logs for suspicious patterns like '../' or '\\'.
• generic web: Use curl to test for path traversal by attempting to access files outside the expected directory structure. For example: curl 'http://coldfusion-server/..\.\.\.\.\/etc/passwd'
• generic web: Check access and error logs for unusual file access attempts or errors related to unauthorized file access.
• generic web: Review response headers for unexpected content or file types.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.07% (21% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, ColdFusion को संस्करण 2025.6 या बाद के संस्करण में तुरंत अपडेट करने की अनुशंसा की जाती है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके अनधिकृत फ़ाइल एक्सेस को रोकने के लिए कॉन्फ़िगरेशन नियमों को लागू कर सकते हैं। सुनिश्चित करें कि ColdFusion सर्वर पर फ़ाइल सिस्टम अनुमतियाँ उचित रूप से कॉन्फ़िगर की गई हैं ताकि केवल अधिकृत उपयोगकर्ताओं को संवेदनशील फ़ाइलों तक पहुँच प्राप्त हो। अपडेट के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, अनधिकृत फ़ाइलों तक पहुँचने का प्रयास करके और यह सुनिश्चित करके कि एक्सेस अस्वीकृत है।
Adobe recomienda actualizar a una versión corregida de ColdFusion, como 2025.6 o posterior, para mitigar la vulnerabilidad de recorrido de ruta. Consulte la página de Adobe Security Advisory para obtener instrucciones detalladas sobre cómo aplicar la actualización y obtener más información sobre la vulnerabilidad.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-34619 ColdFusion में एक पथ पारगमन भेद्यता है जो हमलावरों को अनधिकृत फ़ाइलों तक पहुँचने की अनुमति दे सकती है।
यदि आप ColdFusion के संस्करण 0.0.0–2025.6 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
ColdFusion को संस्करण 2025.6 या बाद के संस्करण में अपडेट करें।
इस भेद्यता का सक्रिय रूप से शोषण किया जा रहा है या नहीं, इसकी जानकारी अभी उपलब्ध नहीं है।
अधिक जानकारी के लिए ColdFusion सुरक्षा सलाहकार देखें: [https://known.coldfusion.com/security-advisories](https://known.coldfusion.com/security-advisories)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।