Adobe - CVE-2026-47928
Date de publication :
Il s'agit d'une vulnérabilité de validation incorrecte des entrées dans Adobe ColdFusion.
Adobe ColdFusion est un serveur d'applications web basé sur Java, conçu pour le développement et l'hébergement d'applications web dynamiques. Il est utilisé dans les environnements d'entreprise pour exposer des services web, des portails et des interfaces d'administration accessibles depuis le réseau.
Un attaquant positionné sur le réseau adjacent peut envoyer des données malveillantes à un endpoint exposé, sans aucune authentification et sans interaction utilisateur. Le traitement de ces données par le moteur ColdFusion déclenche une exécution de code hors du contexte de l'application (scope modifié).
Elle permet à un attaquant non authentifié d'exécuter du code arbitraire à distance avec un changement de périmètre.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Oui
Exécution de code arbitraire (à distance)
Exploitation
CWE-20 : Improper Input Validation
Détails sur l'exploitation
• Vecteur d'attaque : Réseau local
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• Adobe ColdFusion 2025 Update 8 et antérieures
• Adobe ColdFusion 2023 Update 19 et antérieures
Contournement provisoire
• Mettre à jour le connecteur MySQL Java vers la dernière version LTS recommandée par Adobe
• Mettre à jour le JDK/JRE vers la dernière version LTS supportée par la version ColdFusion installée
Solutions ou recommandations
• Adobe ColdFusion 2023 Update 20 et supérieures