Plataforma
coldfusion
Componente
coldfusion
Corrigido em
2025.6.1
Uma vulnerabilidade de Path Traversal foi identificada no ColdFusion, afetando versões desde 0.0.0 até 2025.6. Esta falha permite que um atacante contorne as restrições de diretório, acessando arquivos e diretórios não autorizados. A exploração não requer interação do usuário e pode levar à exposição de informações confidenciais. A correção está disponível na versão 2025.6.
A vulnerabilidade de Path Traversal no ColdFusion permite que um atacante obtenha acesso não autorizado a arquivos e diretórios no servidor. Isso pode incluir arquivos de configuração, código-fonte, dados de usuários e outros ativos sensíveis. Um atacante pode explorar essa falha para ler informações confidenciais, modificar arquivos ou até mesmo executar código malicioso no servidor. O impacto potencial é significativo, especialmente em ambientes onde o ColdFusion é usado para processar dados sensíveis ou hospedar aplicações web críticas. A ausência de interação do usuário simplifica a exploração, tornando-a mais acessível a uma gama maior de atacantes.
A vulnerabilidade CVE-2026-34619 foi divulgada em 2026-04-14. Não há informações disponíveis sobre a adição a KEV ou a existência de exploits públicos. A probabilidade de exploração é considerada média, dada a facilidade de exploração e a ausência de mitigação em sistemas desatualizados. É recomendável priorizar a correção para evitar potenciais ataques.
Organizations running ColdFusion applications, particularly those with sensitive data stored on the server, are at risk. Shared hosting environments where multiple users share the same server instance are especially vulnerable, as a compromise of one user's ColdFusion application could potentially expose data from other users.
• coldfusion: Examine ColdFusion request logs for suspicious patterns like '../' or '\\'.
• generic web: Use curl to test for path traversal by attempting to access files outside the expected directory structure. For example: curl 'http://coldfusion-server/..\.\.\.\.\/etc/passwd'
• generic web: Check access and error logs for unusual file access attempts or errors related to unauthorized file access.
• generic web: Review response headers for unexpected content or file types.
disclosure
Status do Exploit
EPSS
0.07% (percentil 21%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-34619 é a atualização para a versão 2025.6 do ColdFusion, que inclui a correção para esta vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao servidor ColdFusion, fortalecer as permissões de arquivos e diretórios, e monitorar logs de acesso em busca de atividades suspeitas. Implementar regras de firewall ou um Web Application Firewall (WAF) para bloquear solicitações que tentem acessar arquivos fora do diretório raiz também pode ajudar a mitigar o risco. Após a atualização, verifique se a vulnerabilidade foi corrigida acessando um arquivo que antes era inacessível e confirmando que o acesso é negado.
Adobe recomienda actualizar a una versión corregida de ColdFusion, como 2025.6 o posterior, para mitigar la vulnerabilidad de recorrido de ruta. Consulte la página de Adobe Security Advisory para obtener instrucciones detalladas sobre cómo aplicar la actualización y obtener más información sobre la vulnerabilidad.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-34619 is a Path Traversal vulnerability affecting ColdFusion versions 0.0.0–2025.6, allowing attackers to access unauthorized files.
If you are running ColdFusion versions 0.0.0 through 2025.6, you are potentially affected by this vulnerability.
Upgrade to ColdFusion version 2025.6 or later to resolve the vulnerability. Consider WAF rules as a temporary workaround.
While no active exploitation has been confirmed, the vulnerability's nature suggests a potential for exploitation, so vigilance is advised.
Refer to the official Adobe Security Bulletin for details: [https://www.adobe.com/security/advisories/CVE-2026-34619.html](https://www.adobe.com/security/advisories/CVE-2026-34619.html)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.