Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-08378

Опубликовано: 08 июл. 2025
Источник: fstec
CVSS3: 4.8
CVSS2: 5.5
EPSS Низкий

Описание

Уязвимость программной платформы ColdFusion связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Adobe Systems Inc.

Наименование ПО

ColdFusion

Версия ПО

2025 до Update 3 (ColdFusion)
2023 до Update 15 (ColdFusion)
2021 до Update 21 (ColdFusion)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://helpx.adobe.com/security/products/coldfusion/apsb25-69.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 8%
0.0003
Низкий

4.8 Medium

CVSS3

5.5 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-49541

CVSS3: 4.3
nvd
7 месяцев назад

ColdFusion versions 2025.2, 2023.14, 2021.20 and earlier are affected by a stored Cross-Site Scripting (XSS) vulnerability that could be abused by a high-privileged attacker to inject malicious scripts into vulnerable form fields. Malicious JavaScript may be executed in a victim’s browser when they browse to the page containing the vulnerable field, scope is changed. The vulnerable component is restricted to internal IP addresses.

github логотип

GHSA-v4jq-vmcg-hffv

CVSS3: 4.3
github
7 месяцев назад

ColdFusion versions 2025.2, 2023.14, 2021.20 and earlier are affected by a stored Cross-Site Scripting (XSS) vulnerability that could be abused by a high-privileged attacker to inject malicious scripts into vulnerable form fields. Malicious JavaScript may be executed in a victim’s browser when they browse to the page containing the vulnerable field, scope is changed. The vulnerable component is restricted to internal IP addresses.

EPSS

Процентиль: 8%
0.0003
Низкий

4.8 Medium

CVSS3

5.5 Medium

CVSS2