Platform
coldfusion
Component
coldfusion
Opgelost in
2025.6.1
CVE-2026-27305 beschrijft een 'Path Traversal' kwetsbaarheid in ColdFusion. Deze kwetsbaarheid stelt een aanvaller in staat om gevoelige bestanden en directories buiten de beoogde toegang te lezen. De kwetsbaarheid treft ColdFusion versies van 0.0.0 tot en met 2025.6. Een fix is beschikbaar in versie 2025.6.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot gevoelige informatie op de server waarop ColdFusion draait. Dit kan configuratiebestanden, broncode, database credentials of andere vertrouwelijke gegevens omvatten. Afhankelijk van de inhoud van de toegankelijke bestanden, kan een aanvaller de server verder compromitteren, bijvoorbeeld door malware te installeren of gevoelige data te exfiltreren. De impact is aanzienlijk, aangezien de exploitatie geen gebruikersinteractie vereist.
Deze kwetsbaarheid werd publiek bekendgemaakt op 2026-04-14. Er is momenteel geen informatie beschikbaar over actieve exploits in de wild. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend). Er zijn geen publiekelijk beschikbare proof-of-concept exploits bekend op het moment van schrijven.
Organizations running ColdFusion applications, particularly those with sensitive data stored on the server, are at risk. This includes businesses relying on ColdFusion for web applications, e-commerce platforms, and internal systems. Legacy ColdFusion deployments and those with weak file system permissions are especially vulnerable.
• coldfusion:
Get-ChildItem -Path "C:\ColdFusion\wwwroot\" -Recurse -ErrorAction SilentlyContinue | Where-Object {$_.FullName -match '\.\.\'}• generic web:
curl -I http://your-coldfusion-server/../../../../etc/passwddisclosure
Exploit Status
EPSS
0.18% (39% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-27305 is het updaten van ColdFusion naar versie 2025.6 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de ColdFusion-directory via een Web Application Firewall (WAF) of proxy server. Configureer de WAF om verzoeken met paden die buiten de toegestane directory vallen te blokkeren. Controleer ook de configuratie van ColdFusion om te zorgen voor een minimale toegangsrechten voor de gebruiker die ColdFusion uitvoert. Na de upgrade, verifieer de fix door te proberen toegang te krijgen tot bestanden buiten de toegestane directory via een web browser of tool zoals curl.
Adobe recomienda actualizar a una versión corregida de ColdFusion, como 2025.6 o posterior, para mitigar la vulnerabilidad de recorrido de ruta. Consulte la página de Adobe Security Advisory (APS) para obtener instrucciones detalladas sobre cómo aplicar la actualización.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-27305 is a Path Traversal vulnerability in ColdFusion affecting versions 0.0.0–2025.6, allowing attackers to read arbitrary files.
If you are running ColdFusion versions 0.0.0 through 2025.6, you are potentially affected and should upgrade immediately.
Upgrade to ColdFusion version 2025.6 or later to resolve the vulnerability. Consider WAF rules as a temporary mitigation.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's nature suggests potential for future attacks.
Refer to the Adobe Security Bulletin for CVE-2026-27305 on the Adobe website.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.