Plataforma
java
Componente
coldfusion
Corrigido em
2021.19.1
Uma vulnerabilidade de Server-Side Request Forgery (SSRF) foi identificada no ColdFusion, afetando versões até 2021.19, incluindo 2025.1 e 2023.13. Um atacante autenticado com privilégios elevados pode explorar essa falha para forçar o aplicativo a fazer requisições arbitrárias, resultando em leitura limitada do sistema de arquivos. A correção está disponível na versão 2025.1.
A exploração bem-sucedida desta vulnerabilidade SSRF permite que um atacante autenticado com privilégios elevados force o ColdFusion a fazer requisições HTTP para locais arbitrários. Isso pode levar à leitura de arquivos sensíveis no sistema de arquivos do servidor, potencialmente expondo informações confidenciais como arquivos de configuração, chaves de API ou dados de usuários. Embora a exploração não exija interação do usuário, o impacto pode ser significativo dependendo da sensibilidade dos arquivos acessíveis. A capacidade de fazer requisições arbitrárias também pode ser utilizada para realizar ataques de reconhecimento interno, mapeando a rede e identificando outros serviços vulneráveis.
Esta vulnerabilidade foi publicada em 2025-08-18. Não há informações disponíveis sobre exploração ativa ou a inclusão desta CVE no KEV (CISA Known Exploited Vulnerabilities) até o momento. Não foram identificados Proofs of Concept (PoCs) públicos. A probabilidade de exploração é considerada baixa devido à necessidade de autenticação e privilégios elevados.
Organizations running ColdFusion versions 0 through 2021.19, particularly those with internal applications or services that rely on ColdFusion, are at risk. Environments where ColdFusion is used for processing user-supplied data without proper input validation are especially vulnerable.
• java / server:
ps aux | grep -i coldfusion• java / server:
journalctl -u coldfusion -f | grep -i "Server-Side Request Forgery"• generic web:
curl -I <coldfusion_url>• generic web:
grep -r "Server-Side Request Forgery" /opt/coldfusion/cfusion/wwwroot/includes/ # Adjust path as neededdisclosure
Status do Exploit
EPSS
0.05% (percentil 15%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização para a versão 2025.1 do ColdFusion, que inclui a correção. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso à rede do servidor ColdFusion, utilizando firewalls para bloquear requisições para locais não confiáveis. Além disso, revise e reforce as políticas de autenticação e autorização para garantir que apenas usuários autorizados tenham acesso ao ColdFusion. Monitore os logs do ColdFusion em busca de atividades suspeitas, como requisições para URLs inesperadas.
Atualize o ColdFusion para a versão 2025.1, 2023.13 ou 2021.19 ou posterior. Isso corrigirá a vulnerabilidade SSRF. Consulte o boletim de segurança da Adobe para obter mais detalhes e instruções específicas.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade de Server-Side Request Forgery (SSRF) no ColdFusion que permite a leitura limitada do sistema de arquivos por um atacante autenticado.
Se você estiver utilizando ColdFusion nas versões 2025.1, 2023.13 ou 2021.19, você está potencialmente afetado. Verifique a versão instalada e atualize.
Atualize para a versão 2025.1 do ColdFusion, que inclui a correção para esta vulnerabilidade. Considere medidas de segurança adicionais se a atualização imediata não for possível.
Até o momento, não há informações disponíveis sobre exploração ativa desta vulnerabilidade.
Consulte o site oficial da Adobe para obter informações e o advisory de segurança relacionado a esta vulnerabilidade.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo pom.xml e descubra na hora se você está afetado.