CVE-2024-41874

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2024-41874
ColdFusion versions 2023.9, 2021.15 and earlier are affected by a Deserialization of Untrusted Data vulnerability that could result in arbitrary code execution in the context of the current user. An attacker could exploit this vulnerability by providing crafted input to the application, which when deserialized, leads to execution of malicious code. Exploitation of this issue does not require user interaction.

9.8 /10

CVSS v3 : CRITICAL

V3 Legend

Vector :

Exploitability : 3.9 / Impact : 5.9

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact HIGH

Scope UNCHANGED

References
Link Resource
https://helpx.adobe.com/security/products/coldfusion/apsb24-71.html Vendor Advisory
Configurations

Configuration 1 (hide)

OR cpe:2.3:a:adobe:coldfusion:2023:-:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2023:update1:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2023:update2:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2023:update3:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2023:update4:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2023:update5:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2023:update6:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2023:update7:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2023:update8:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2023:update9:*:*:*:*:*:*

Configuration 2 (hide)

OR cpe:2.3:a:adobe:coldfusion:2021:-:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2021:update1:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2021:update10:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2021:update11:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2021:update12:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2021:update13:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2021:update14:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2021:update15:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2021:update2:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2021:update3:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2021:update4:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2021:update5:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2021:update6:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2021:update7:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2021:update8:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2021:update9:*:*:*:*:*:*
History

13 Sep 2024, 16:57

Type Values Removed Values Added
CPE cpe:2.3:a:adobe:coldfusion:2021:update10:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2023:update8:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2021:update2:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2023:update4:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2021:update3:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2021:update5:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2023:update1:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2021:update13:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2021:update15:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2021:update8:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2023:update6:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2021:update1:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2023:-:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2023:update7:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2021:update12:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2023:update2:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2023:update5:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2021:update9:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2021:update7:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2021:update14:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2021:update6:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2023:update9:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2023:update3:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2021:-:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2021:update4:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2021:update11:*:*:*:*:*:*
References () https://helpx.adobe.com/security/products/coldfusion/apsb24-71.html - () https://helpx.adobe.com/security/products/coldfusion/apsb24-71.html - Vendor Advisory
First Time Adobe coldfusion
Adobe

13 Sep 2024, 14:06

Type Values Removed Values Added
Summary
  • (es) Las versiones 2023.9, 2021.15 y anteriores de ColdFusion se ven afectadas por una vulnerabilidad de deserialización de datos no confiables que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. Un atacante podría aprovechar esta vulnerabilidad proporcionando una entrada manipulada a la aplicación que, cuando se deserialice, provoque la ejecución de código malicioso. La explotación de este problema no requiere la interacción del usuario.

13 Sep 2024, 10:15

Type Values Removed Values Added
New CVE
Information

Published : 2024-09-13 10:15

Updated : 2024-09-13 16:57

NVD link : CVE-2024-41874

Mitre link : CVE-2024-41874

CVE.ORG link : CVE-2024-41874

JSON object : View

Products Affected

adobe

  • coldfusion
CWE
CWE-502

Deserialization of Untrusted Data