【已复现】AdobeColdFusion路径穿越漏洞(CVE-2026-48282)安全风险通告

admin 2026-07-04 05:07:54 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: AdobeColdFusion路径穿越漏洞CVE-2026-48282CVSS评分达10.0,源于RDS服务未正确限制路径访问。攻击者可通过特定端点实现任意文件读写及远程代码执行,影响2025版Update9及2023版Update20以下版本。POC与EXP均已公开,利用需RDS启用且认证被禁。建议尽快升级至最新补丁版本,或禁用RDS、启用强认证并限制访问IP以降低风险。 综合评分: 78 文章分类: 漏洞预警,漏洞分析,WEB安全,解决方案


cover_image

【已复现】Adobe ColdFusion 路径穿越漏洞(CVE-2026-48282)安全风险通告

奇安信 CERT

2026年7月3日 17:49 北京

在小说阅读器读本章

去阅读

● 点击↑蓝字关注我们,获取更多安全风险通告


| | | | | | — | — | — | — | | 漏洞概述 | | | | | 漏洞名称 | Adobe ColdFusion 路径穿越漏洞 | | | | 漏洞编号 | QVD-2026-37585,CVE-2026-48282 | | | | 公开时间 | 2026-06-30 | 影响量级 | 百万级 | | 奇安信评级 | 高危 | CVSS 3.1分数 | 10.0 | | 威胁类型 | 代码执行 | 利用可能性 | | | POC状态 | 已公开 | 在野利用状态 | 未发现 | | EXP状态 | 已公开 | 技术细节状态 | 已公开 | | 危害描述:攻击者可以利用此漏洞,通过向 /CFIDE/main/ide.cfm 端点发送特制的 RDS 请求绕过目录限制,实现任意文件读取、写入,最终在服务器上以当前用户权限执行任意代码。 | | | |

01

漏洞详情

>>>>

影响组件

Adobe ColdFusion 是 Adobe 推出的企业级快速 Web 应用开发中间件,底层基于 Java 引擎运行,配套专属 CFML 标记语言,大幅降低动态业务网站开发成本。软件内置 RDS 远程开发调试服务、CKEditor 富文本编辑器、文件管理、邮件交互等配套功能模块,广泛用于政府、制造、金融企业内部管理平台、对外业务站点与数据交互系统。ColdFusion 同时提供独立安装包与 Tomcat 等 JEE 容器部署两种形态,兼容 Windows、Linux 主流操作系统,是传统企业 Web 开发场景长期使用的成熟产品。

>>>>

漏洞描述

近日,奇安信CERT监测到官方修复Adobe ColdFusion 路径穿越漏洞(CVE-2026-48282),该漏洞源于远程开发服务(RDS)功能在处理文件操作时,未能正确限制对受限目录的路径名访问。攻击者可以利用此漏洞,通过向 /CFIDE/main/ide.cfm 端点发送特制的 RDS 请求绕过目录限制,实现任意文件读取、写入,最终在服务器上以当前用户权限执行任意代码。目前该漏洞PoC和技术细节已公开,鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。

>>>>

利用条件

1.RDS 功能已启用(默认未启用)。

2.RDS 的身份验证功能被禁用。

02

影响范围

>>>>

影响版本

Adobe ColdFusion 2025 <= Update 9

Adobe ColdFusion 2023 <= Update 20

03

复现情况

目前,奇安信威胁情报中心安全研究员已成功复现Adobe ColdFusion 路径穿越漏洞(CVE-2026-48282),截图如下:

图1 任意文件读取

图2 任意文件写入

图3 远程代码执行

04

处置建议

>>>>

安全更新

目前官方已发布安全更新,建议用户尽快升级至最新版本:

Adobe ColdFusion 2025 >= Update 10

Adobe ColdFusion 2023 >= Update 21

升级后重启 ColdFusion 服务并验证补丁生效。

官方补丁下载地址:

https://helpx.adobe.com/security/products/coldfusion/apsb26-68.html

临时缓解措施:

1.禁用 RDS:如果业务不依赖远程开发服务,请在 ColdFusion 管理员中完全禁用 RDS 功能。

2.启用 RDS 身份验证:如果必须使用 RDS,请确保已启用强身份验证,并限制可访问 RDS 端点的 IP 地址。

>>>>

产品解决方案

安信网神网络数据传感器系统产品检测方案****

奇安信网神网络数据传感器(NDS5000/7000/9000系列)产品,已具备该漏洞的检测能力。规则ID为:8240,建议用户尽快升级检测规则库至2607031730以上;

奇安信天眼检测方案

奇安信天眼新一代安全感知系统已经能够有效检测针对该漏洞的攻击,请将规则版本升级到3.0.0703.15069或以上版本。规则ID及规则名称:

0x100228FD,Adobe ColdFusion 路径穿越漏洞(CVE-2026-48282)。奇安信天眼流量探针规则升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。

05

参考资料

[1]https://helpx.adobe.com/security/products/coldfusion/apsb26-68.html

[2]https://labs.watchtowr.com/its-37oc-and-all-we-can-think-about-is-coldfusion-adobe-coldfusion-security-bulletin-apsb26-68-cve-bonanza/

06

时间线

2026年07月03日,奇安信 CERT发布安全风险通告。

07

漏洞情报服务

「奇安信漏洞情报平台」重磅上线,诚邀您来体验:

奇安信 CERT

致力于第一时间为企业级用户提供权威漏洞情报和有效解决方案。

点击↓阅读原文,到ALPHA威胁分析平台订阅更多漏洞信息。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:奇安信 CERT 《【已复现】Adobe ColdFusion 路径穿越漏洞(CVE-2026-48282)安全风险通告》

评论:0   参与:  0