CVE-2018-4939

CVSS 9.8 CRITICALEPSS 63.3%● KEVCWE-502

Vexday Risk Score

70Prioridad alta

Decisión SSVC (CISA)

Act

Explotación + impacto → acción inmediata

CVSS 9.8EPSS 63.3%KEV simPoC —Nuclei —Metasploit —Patch —

Ciclo de vida

19 may 2018Publicada en NVD

03 nov 2021Explotación activa (CISA KEV)

Recomendación: Corregir cuanto antes — hay explotación activa confirmada.

En resumen

Adobe ColdFusion versiones hasta Update 5 (2016) y Update 13 (2011) permiten que atacantes ejecuten código arbitrario al enviar datos serializados especialmente crafteados. La aplicación deserializa esta entrada sin validación adecuada.

Detalle técnico

Vulnerabilidad CWE-502 de deserialización en Adobe ColdFusion permite ejecución remota de código mediante objetos serializados maliciosos. El vector de ataque es a través de red sin requerir autenticación; la explotación involucra envío de datos serializados que disparan ejecución de código durante deserialización. El impacto es crítico con compromiso total del sistema.

Resumen generado y traducido por IA a partir de la descripción oficial.

Adobe ColdFusion Update 5 and earlier versions, ColdFusion 11 Update 13 and earlier versions have an exploitable Deserialization of Untrusted Data vulnerability. Successful exploitation could lead to arbitrary code execution.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Productos afectados

n/a · Adobe ColdFusion ColdFusion Update 5 and earlier versions, ColdFusion 11 Update 13 and earlier versions

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://helpx.adobe.com/security/products/coldfusion/apsb18-14.html https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2018-4939 http://www.securityfocus.com/bid/103718