Platform
coldfusion
Component
coldfusion
Opgelost in
2025.6.1
CVE-2026-34619 beschrijft een 'Path Traversal' kwetsbaarheid in ColdFusion. Deze kwetsbaarheid stelt een aanvaller in staat om ongeautoriseerde bestanden en mappen te benaderen, wat kan leiden tot een omzeiling van beveiligingsmaatregelen. De kwetsbaarheid treft ColdFusion versies van 0.0.0 tot en met 2025.6. Een patch is beschikbaar in versie 2025.6.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid kan aanzienlijke gevolgen hebben. Aanvallers kunnen gevoelige configuratiebestanden, broncode of andere kritieke gegevens in het systeem blootleggen. Dit kan leiden tot verdere misbruik, zoals het verkrijgen van root-toegang of het uitvoeren van willekeurige code. De impact is vergelijkbaar met scenario's waarbij een aanvaller toegang krijgt tot de serverconfiguratie en deze kan manipuleren. De kwetsbaarheid vereist geen interactie van de gebruiker, waardoor deze bijzonder gevaarlijk is.
Deze kwetsbaarheid werd publiek bekendgemaakt op 2026-04-14. Er is momenteel geen informatie beschikbaar over actieve exploits in de wildernis. Er zijn geen publieke proof-of-concept exploits bekend. De kwetsbaarheid is opgenomen in het CISA KEV catalogus, wat duidt op een potentieel risico, maar geen bevestigde actieve exploitatie.
Organizations running ColdFusion applications, particularly those with sensitive data stored on the server, are at risk. Shared hosting environments where multiple users share the same server instance are especially vulnerable, as a compromise of one user's ColdFusion application could potentially expose data from other users.
• coldfusion: Examine ColdFusion request logs for suspicious patterns like '../' or '\\'.
• generic web: Use curl to test for path traversal by attempting to access files outside the expected directory structure. For example: curl 'http://coldfusion-server/..\.\.\.\.\/etc/passwd'
• generic web: Check access and error logs for unusual file access attempts or errors related to unauthorized file access.
• generic web: Review response headers for unexpected content or file types.
disclosure
Exploit Status
EPSS
0.07% (21% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-34619 is het upgraden van ColdFusion naar versie 2025.6 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de ColdFusion-installatie via een Web Application Firewall (WAF) of proxy. Configureer de WAF om verzoeken te blokkeren die potentieel kwaadaardige padnamen bevatten. Controleer ook de configuratie van ColdFusion om te zorgen voor strikte beperkingen op toegestane bestanden en mappen. Na de upgrade, verifieer de fix door te proberen toegang te krijgen tot bestanden buiten de toegestane directory's.
Adobe recomienda actualizar a una versión corregida de ColdFusion, como 2025.6 o posterior, para mitigar la vulnerabilidad de recorrido de ruta. Consulte la página de Adobe Security Advisory para obtener instrucciones detalladas sobre cómo aplicar la actualización y obtener más información sobre la vulnerabilidad.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-34619 is a Path Traversal vulnerability affecting ColdFusion versions 0.0.0–2025.6, allowing attackers to access unauthorized files.
If you are running ColdFusion versions 0.0.0 through 2025.6, you are potentially affected by this vulnerability.
Upgrade to ColdFusion version 2025.6 or later to resolve the vulnerability. Consider WAF rules as a temporary workaround.
While no active exploitation has been confirmed, the vulnerability's nature suggests a potential for exploitation, so vigilance is advised.
Refer to the official Adobe Security Bulletin for details: [https://www.adobe.com/security/advisories/CVE-2026-34619.html](https://www.adobe.com/security/advisories/CVE-2026-34619.html)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.