Adobe - CVE-2026-48276
Date de publication :
Il s'agit d'une vulnérabilité dans le mécanisme de téléversement de fichiers d'Adobe ColdFusion.
ColdFusion est un serveur applicatif utilisé pour développer, déployer et exécuter des applications web dynamiques
Le serveur ne contrôle pas correctement le type des fichiers déposés. Un attaquant distant non authentifié peut déposer un fichier dangereux sur le serveur.
La vulnérabilité permet une exécution de code arbitraire à distance dans le contexte de l'utilisateur courant.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Exécution de code arbitraire (à distance)
Exploitation
CWE-434 : Unrestricted Upload of File with Dangerous Type
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• ColdFusion 2025 versions Update 9 et antérieures
• ColdFusion 2023 versions Update 20 et antérieures
Solutions ou recommandations
• ColdFusion 2023 versions Update 21 et supérieures.