Adobe - CVE-2026-48276

Date de publication :

Il s'agit d'une vulnérabilité dans le mécanisme de téléversement de fichiers d'Adobe ColdFusion.

ColdFusion est un serveur applicatif utilisé pour développer, déployer et exécuter des applications web dynamiques

Le serveur ne contrôle pas correctement le type des fichiers déposés. Un attaquant distant non authentifié peut déposer un fichier dangereux sur le serveur.

La vulnérabilité permet une exécution de code arbitraire à distance dans le contexte de l'utilisateur courant.

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

Exécution de code arbitraire (à distance)

Exploitation

La vulnérabilité exploitée est du type
CWE-434 : Unrestricted Upload of File with Dangerous Type

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Aucun
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

•   ColdFusion 2025 versions Update 9 et antérieures
•   ColdFusion 2023 versions Update 20 et antérieures

Solutions ou recommandations

•   ColdFusion 2025 versions Update 10 et supérieures.
•   ColdFusion 2023 versions Update 21 et supérieures.