Vulnerabilidad en ColdFusion (CVE-2025-49539)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-611
Restricción incorrecta de referencia a entidad externa XML (XXE)
Fecha de publicación:
08/07/2025
Última modificación:
11/07/2025
Descripción
Las versiones 2025.2, 2023.14, 2021.20 y anteriores de ColdFusion se ven afectadas por una vulnerabilidad de restricción incorrecta de referencias a entidades externas XML ('XXE'), que podría resultar en la omisión de una función de seguridad. Un atacante con privilegios elevados podría aprovechar esta vulnerabilidad para acceder a información confidencial. La explotación de este problema no requiere la interacción del usuario. El componente vulnerable está restringido a direcciones IP internas.
Impacto
Puntuación base 3.x
4.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:adobe:coldfusion:2021:-:*:*:*:*:*:* | ||
| cpe:2.3:a:adobe:coldfusion:2021:update1:*:*:*:*:*:* | ||
| cpe:2.3:a:adobe:coldfusion:2021:update10:*:*:*:*:*:* | ||
| cpe:2.3:a:adobe:coldfusion:2021:update11:*:*:*:*:*:* | ||
| cpe:2.3:a:adobe:coldfusion:2021:update12:*:*:*:*:*:* | ||
| cpe:2.3:a:adobe:coldfusion:2021:update13:*:*:*:*:*:* | ||
| cpe:2.3:a:adobe:coldfusion:2021:update14:*:*:*:*:*:* | ||
| cpe:2.3:a:adobe:coldfusion:2021:update15:*:*:*:*:*:* | ||
| cpe:2.3:a:adobe:coldfusion:2021:update16:*:*:*:*:*:* | ||
| cpe:2.3:a:adobe:coldfusion:2021:update17:*:*:*:*:*:* | ||
| cpe:2.3:a:adobe:coldfusion:2021:update18:*:*:*:*:*:* | ||
| cpe:2.3:a:adobe:coldfusion:2021:update19:*:*:*:*:*:* | ||
| cpe:2.3:a:adobe:coldfusion:2021:update2:*:*:*:*:*:* | ||
| cpe:2.3:a:adobe:coldfusion:2021:update20:*:*:*:*:*:* | ||
| cpe:2.3:a:adobe:coldfusion:2021:update3:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página