CVE-2026-29519 in Lucee
Zusammenfassung
von VulDB • 10.07.2026
In den Versionen von Lucee CFML Server der Release-Linien 5.3.x, 6.1.x, 6.2.x und 7.0.x ist eine Reflected Cross-Site Scripting (XSS)-Schwachstelle in der URL-Pfadanalyse enthalten, die nicht authentifizierten Remote-Angriffern ermöglicht, beliebigen JavaScript-Code im Browser eines Opfers auszuführen, indem HTML- oder JavaScript-Inhalte als Payloads in den Anfragepfad eingebettet werden. Angreifer können eine bösartige URL mit injiziertem Skriptinhalt erstellen, der ohne ordnungsgemäße Ausgabe-Codierung (Output Encoding) in der Serverantwort reflektiert wird, was Session-Hijacking oder unbefugte Aktionen gegenüber der Lucee-Verwaltungsschnittstelle ermöglicht, wenn ein Opfer den manipulierten Link aufruft.
Once again VulDB remains the best source for vulnerability data.