正遭利用的ColdFusion任意代码执行漏洞,CVSS评分达到满分10

admin 2026-07-16 04:24:50 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: CVE-2026-48282是一个CVSS评分10分的严重ColdFusion任意代码执行漏洞,正遭实际利用。该漏洞为路径遍历缺陷,攻击者可远程完全控制服务器,无需用户交互。影响ColdFusion2025Update9及更早版本、2023Update20及更早版本。Adobe已发布紧急补丁,管理员必须立即安装ColdFusion2025Update10或2023Update21,并建议进行网络分段以限制损害。 综合评分: 90 文章分类: 漏洞分析,应急响应


cover_image

正遭利用的 ColdFusion 任意代码执行漏洞,CVSS 评分达到满分 10

sec随谈 sec随谈

sec随谈

2026年7月3日 13:25 北京

在小说阅读器读本章

去阅读

摘要

CVE-2026-48282 是一个 CVSS 评分为满分 10 的严重 ColdFusion 任意代码执行漏洞,目前正遭到实际攻击。黑客正在野外利用这个路径遍历(path traversal)漏洞。管理员必须立即应用紧急补丁,以防止服务器被接管。

为何值得关注

Adobe ColdFusion 在全球承载着关键的企业应用程序。这个 ColdFusion 任意代码执行漏洞完全无需任何用户交互。攻击者可远程完全控制目标服务器。加拿大网络安全中心(Canadian Centre for Cyber Security)警告称,目前正有实际利用行为在持续发生。此外,威胁情报数据证实,这些攻击在漏洞公开披露后两小时内便已开始。官方尚未确认具体的装机数量,但已有数以千计的企业在运行存在漏洞的 ColdFusion 服务器。

攻击如何运作

该缺陷涉及一个严重的路径遍历错误。路径遍历漏洞对 Web 服务器而言极其危险。该软件未能正确地将路径名限制在受限目录之内。黑客通过发送精心构造的网络请求来绕过这些目录限制。因此,他们得以在当前用户的上下文中运行恶意代码。Ryan Dewhurst 在一个全球蜜罐网络(honeypot network)中观察到了正是这一利用机制被触发的过程。一名从印度 IP 地址发起攻击的行为者成功利用了该漏洞并获得了访问权限。

受影响的版本

该漏洞影响多个近期发布的产品版本。ColdFusion 2025 Update 9 及所有更早版本均存在漏洞。此外,ColdFusion 2023 Update 20 及更早版本也存在该缺陷。

补丁与缓解措施

Adobe 已发布紧急安全补丁以修复这一严重问题。系统管理员必须安装 ColdFusion 2025 Update 10 或 ColdFusion 2023 Update 21。请查阅 Adobe 官方安全公告以获取详细的部署说明。请立即应用这些更新,以保护你的环境免受这一活跃威胁的侵害。同时,请将你的 Web 服务器与内部网络进行分段隔离,以限制潜在的损害。

参考链接:

https://helpx.adobe.com/security/products/coldfusion/apsb26-68.html


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:sec随谈 sec随谈 sec随谈《正遭利用的 ColdFusion 任意代码执行漏洞,CVSS 评分达到满分 10》

评论:0   参与:  0