-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheden verholpen in Adobe ColdFusion Advisory ID : NCSC-2026-0217 Versie : 1.00 Kans : medium CVE ID : CVE-2026-48276, CVE-2026-48277, CVE-2026-48281, CVE-2026-48282, CVE-2026-48283, CVE-2026-48285, CVE-2026-48307, CVE-2026-48313, CVE-2026-48314, CVE-2026-48315, CVE-2026-48316 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : high Improper Input Validation Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') Unrestricted Upload of File with Dangerous Type Server-Side Request Forgery (SSRF) Uitgiftedatum : 20260701 Toepassing : Adobe ColdFusion Adobe ColdFusion 2023 Adobe ColdFusion 2025 Versie(s) : Platform(s) : Beschrijving Adobe heeft meerdere kwetsbaarheden verholpen in Adobe ColdFusion versies 25.9, 23.20 en eerdere versies. De kwetsbaarheden in Adobe ColdFusion betreffen onder andere onbeperkte upload van gevaarlijke bestandstypen, improper input validation, path traversal, reflected Cross-Site Scripting (XSS) en Server-Side Request Forgery (SSRF). Deze kwetsbaarheden maken het mogelijk voor een aanvaller om zonder enige gebruikersinteractie willekeurige code uit te voeren, bestanden te lezen of te schrijven, en beveiligingsmaatregelen te omzeilen. De path traversal kwetsbaarheden kunnen leiden tot toegang tot en wijziging van bestanden buiten de bedoelde directories. De XSS-kwetsbaarheid ontstaat door onvoldoende sanering van gebruikersinvoer in URL's, waardoor kwaadaardige scripts kunnen worden geïnjecteerd en uitgevoerd in de browser van een gebruiker. De SSRF-kwetsbaarheid stelt een aanvaller in staat om server-side verzoeken te manipuleren en ongeautoriseerde toegang tot bronnen te verkrijgen. Deze problemen zijn aanwezig in meerdere versies van ColdFusion, wat wijst op een breed impactgebied binnen de productlijn. Mogelijke oplossingen Adobe heeft updates uitgebracht om de kwetsbaarheden in ColdFusion te verhelpen. Zie bijgevoegde referenties voor meer informatie. Referenties: Reference https://helpx.adobe.com//security/products/coldfusion/apsb26- 68.html Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- iQGzBAEBCgAdFiEEGSwziqblmmRNtImqgupWoL0ZhGEFAmpE1hkACgkQgupWoL0Z hGGN7wv+IPZsRVXZWxUlBM6s44+VFTUHEmWDOYBbO6UHSnIs3e5+ICjz2bq3munj qn1nnj9AR2o4BySWUZL9zawrYHgbzJQ0Cb8YwHfDifInTTDWnEvLwhmeR0YGrMRh ICUC1tmpNa0EafROaVDy0KHlCCyb+ndJDOX4QUkzd2d6Ne5BIavIurqaX8Oj67NC gHsLGuAFXkUTOmck5AaahkJK2uoryymz44vXpftZQNO4yNnFKwaG1jQ/BX9HZPz7 fE/KLMyP+y83HJelfW5lq3Nr3XoWOn95GhdxF98QpyCVOSu7jKwsxi7VYMUQFNCP rGfZnC7kBmifRSsDWzvXP7MHoEId85V3VbiS4ra6puIpGxskP4YMG+KEpxcc9bWP ijviaTRLUEoK3Ft0n6Sta3qqMdRZFEW80mkhgx/joi4jNKifpjZQQJs6zqRXmDdy YTP2Czx/qzrQwBmJzVfj0cg+aBvuyjJRmT0BKn8eBFMPFIymKAB3KSATYMADgrA5 zNcsjg57 =Nn7m -----END PGP SIGNATURE-----