Coldfusion
Уязвимости
344
Эксплуатируемые
16
Макс. CVSS
10
Макс. EPSS
0.99984
Распределение по критичности
Критический
101
Высокий
106
Средний
126
Низкий
11
Затронутые диапазоны версий
2023–2023.0.0.3304687.0–7.0.2< 2018< 2021< 2021.13< 2021.14≤ 10.0≤ 8.0.1≤ 9.0≤ 9.0.1≤ 9.0.2
Также сопоставлено как (исходные строки): flex_data_services,livecycle,livecycle_data_services,jrun,coldfusion,blazeds
Топ уязвимостей
CVE-2026-47928Версии ColdFusion 2023.19, 2025.8 и ранее подвержены влиянию неправильной валидации входа, которая может привести к произвольному исполнению кода в контексте текущего пользователя. Эксплуатация этой проблемы не требует взаимодействия с пользователем. Сфера охвата изменена.
CVE-2025-54261ColdFusion версий 2025.3, 2023.15, 2021.21 и более ранних подвержены уязвимости Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal'), которая может привести к записи произвольных файлов на файловую систему [1]. Проблема устранена в обновлениях ColdFusion 2025 Update 4, 2023 Update 16 и 2021 Update 22. Рекомендуется обновить ColdFusion до последней версии.
Источники:
- [1] https://helpx.adobe.com/security/products/coldfusion/apsb25-93.html
CVE-2013-3350Adobe ColdFusion 10 до Update 11 позволяет удаленным злоумышленникам вызывать публичные методы ColdFusion Components (CFC) через WebSockets.
CVE-2013-1389Неуказанная уязвимость в Adobe ColdFusion 9.0 до Update 11, 9.0.1 до Update 10, 9.0.2 до Update 5 и 10 до Update 10 позволяет удаленным злоумышленникам выполнять произвольный код через неизвестные векторы.
CVE-2010-5290Процесс аутентификации в Adobe ColdFusion до версии 10 не требует знания пароля в виде открытого текста, если известен хеш пароля, что облегчает контекстно-зависимым злоумышленникам получение административных привилегий за счет использования доступа на чтение к файлу конфигурации, что является уязвимостью, отличной от CVE-2010-2861.
BDU:2019-01116Уязвимость программной платформы ColdFusion связана с восстановлением в памяти недостоверной структуры данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с помощью специально созданного запроса
CVE-2026-47931Версии ColdFusion 2023.19, 2025.8 и ранее подвержены влиянию неправильной валидации входа, которая может привести к произвольному исполнению кода в контексте текущего пользователя. Эксплуатация этой проблемы не требует взаимодействия с пользователем. Сфера охвата изменена.
BDU:2023-01291Уязвимость программной платформы ColdFusion связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
CVE-2024-41874ColdFusion версий 2023.9, 2021.15 и более ранние версии подвержены уязвимости десериализации ненадежных данных, которая может привести к произвольному выполнению кода в контексте текущего пользователя. Злоумышленник может использовать эту уязвимость, предоставив приложению специально созданный ввод, который при десериализации приводит к выполнению вредоносного кода. Для эксплуатации этой уязвимости не требуется взаимодействие с пользователем.
CVE-2023-44353Продукты Adobe ColdFusion версий 2023.5 (и более ранних) и 2021.11 (и более ранних) подвержены уязвимости Deserialization of Untrusted Data, которая может привести к Arbitrary code execution. Эксплуатация этой проблемы не требует взаимодействия с пользователем.
CVE-2023-44351Продукты Adobe ColdFusion версий 2023.5 (и более ранних) и 2021.11 (и более ранних) подвержены уязвимости Deserialization of Untrusted Data, которая может привести к Arbitrary code execution. Эксплуатация этой проблемы не требует взаимодействия с пользователем.
CVE-2023-44350Продукты Adobe ColdFusion версий 2023.5 (и более ранних) и 2021.11 (и более ранних) подвержены уязвимости Deserialization of Untrusted Data, которая может привести к Arbitrary code execution. Эксплуатация этой проблемы не требует взаимодействия с пользователем.
CVE-2023-38204Версии Adobe ColdFusion 2018u18 (и более ранние), 2021u8 (и более ранние) и 2023u2 (и более ранние) подвержены уязвимости десериализации недоверенных данных, что может привести к произвольному выполнению кода. Эксплуатация этой проблемы не требует взаимодействия с пользователем.
CVE-2023-38203Версии Adobe ColdFusion 2018u17 (и более ранние), 2021u7 (и более ранние) и 2023u1 (и более ранние) подвержены уязвимости десериализации недоверенных данных, что может привести к произвольному выполнению кода. Эксплуатация этой проблемы не требует взаимодействия с пользователем.
CVE-2023-29300Adobe ColdFusion версий 2018u16 (и более ранних), 2021u6 (и более ранних) и 2023.0.0.330468 (и более ранних) подвержены уязвимости Deserialization of Untrusted Data, которая может привести к произвольному выполнению кода. Эксплуатация этой проблемы не требует взаимодействия с пользователем.
CVE-2023-26360Версии Adobe ColdFusion 2018 Update 15 (и более ранние) и 2021 Update 5 (и более ранние) подвержены уязвимости неправильного контроля доступа, что может привести к произвольному выполнению кода в контексте текущего пользователя. Для эксплуатации этой уязвимости не требуется взаимодействие с пользователем.
CVE-2023-26359Версии Adobe ColdFusion 2018 Update 15 (и более ранние) и 2021 Update 5 (и более ранние) подвержены уязвимости десериализации ненадежных данных, что может привести к произвольному выполнению кода в контексте текущего пользователя. Для эксплуатации этой уязвимости не требуется взаимодействие с пользователем.
CVE-2022-38418Adobe ColdFusion версий Update 14 (и более ранних) и Update 4 (и более ранних) подвержены уязвимости неправильного ограничения имени пути к ограниченному каталогу («Обход пути»), что может привести к выполнению произвольного кода в контексте текущего пользователя. Для использования этой проблемы не требуется взаимодействие с пользователем.
CVE-2022-35712Версии Adobe ColdFusion Update 14 (и более ранние) и Update 4 (и более ранние) подвержены уязвимости переполнения буфера на основе кучи, что может привести к произвольному выполнению кода в контексте текущего пользователя. Эксплуатация этой уязвимости не требует взаимодействия с пользователем, уязвимость возникает при отправке специально созданного сетевого пакета на сервер.
CVE-2022-35711Версии Adobe ColdFusion Update 14 (и более ранние) и Update 4 (и более ранние) подвержены уязвимости переполнения буфера на основе кучи, что может привести к произвольному выполнению кода в контексте текущего пользователя. Эксплуатация этой уязвимости не требует взаимодействия с пользователем, уязвимость возникает при отправке специально созданного сетевого пакета на сервер.
CVE-2022-35710Версии Adobe ColdFusion Update 14 (и более ранние) и Update 4 (и более ранние) подвержены уязвимости переполнения буфера на основе стека, что может привести к произвольному выполнению кода в контексте текущего пользователя. Эксплуатация этой уязвимости не требует взаимодействия с пользователем, уязвимость возникает при отправке специально созданного сетевого пакета на сервер.
CVE-2022-35690Adobe ColdFusion версий Update 14 (и более ранних) и Update 4 (и более ранних) подвержены уязвимости переполнения буфера на основе стека, которая может привести к произвольному выполнению кода в контексте текущего пользователя. Эксплуатация этой проблемы не требует взаимодействия с пользователем, уязвимость возникает при отправке специально созданного сетевого пакета на сервер.
CVE-2020-3794ColdFusion версий ColdFusion 2016 и ColdFusion 2018 имеют уязвимость включения файлов. Успешная эксплуатация может привести к произвольному выполнению кода файлов, расположенных в корневом каталоге веб-сайта или его подкаталоге.
CVE-2019-8256ColdFusion версий Update 6 и более ранних имеет небезопасные унаследованные разрешения каталога установки по умолчанию. Успешная эксплуатация может привести к повышению привилегий.
CVE-2019-8074ColdFusion 2018- update 4 и более ранние версии, а также ColdFusion 2016- update 11 и более ранние версии имеют уязвимость Path Traversal. Успешная эксплуатация может привести к обходу контроля доступа в контексте текущего пользователя.