CVE-2023-26359
Adobe ColdFusion Deserialization of Untrusted Data Arbitrary code execution
Vexday Risk Score
63Prioridade alta
Decisão SSVC (CISA)
Act
Exploração + impacto → ação imediata
CVSS 9.8EPSS 17.9%KEV simPoC —Nuclei —Metasploit —Patch —
Ciclo de vida
23 mar 2023Publicada no NVD
21 ago 2023Exploração ativa (CISA KEV)
Recomendação: Corrigir o quanto antes — há exploração ativa confirmada.
Em resumo
Adobe ColdFusion tem uma falha crítica que permite que atacantes executem código malicioso em servidores afetados enviando dados especialmente preparados. Nenhuma interação do usuário é necessária—os atacantes podem explorar isso remotamente.
Detalhe técnico
As versões ColdFusion 2018 Update 15 e anteriores, e 2021 Update 5 e anteriores são vulneráveis à desserialização insegura (CWE-502) de entrada não confiável, permitindo execução remota de código no contexto do usuário da aplicação sem exigir autenticação ou interação do usuário.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Adobe ColdFusion versions 2018 Update 15 (and earlier) and 2021 Update 5 (and earlier) are affected by a Deserialization of Untrusted Data vulnerability that could result in arbitrary code execution in the context of the current user. Exploitation of this issue does not require user interaction.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
Adobe · ColdFusionQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →