漏洞概述 | |||
漏洞名称 | Adobe ColdFusion 路径穿越漏洞 | ||
漏洞编号 | QVD-2026-37585,CVE-2026-48282 | ||
公开时间 | 2026-06-30 | 影响量级 | 百万级 |
奇安信评级 | 高危 | CVSS 3.1分数 | 10.0 |
威胁类型 | 代码执行 | 利用可能性 | 高 |
POC状态 | 已公开 | 在野利用状态 | 未发现 |
EXP状态 | 已公开 | 技术细节状态 | 已公开 |
危害描述:攻击者可以利用此漏洞,通过向 /CFIDE/main/ide.cfm 端点发送特制的 RDS 请求绕过目录限制,实现任意文件读取、写入,最终在服务器上以当前用户权限执行任意代码。 | |||
01
漏洞详情
>>>>
影响组件
Adobe ColdFusion 是 Adobe 推出的企业级快速 Web 应用开发中间件,底层基于 Java 引擎运行,配套专属 CFML 标记语言,大幅降低动态业务网站开发成本。软件内置 RDS 远程开发调试服务、CKEditor 富文本编辑器、文件管理、邮件交互等配套功能模块,广泛用于政府、制造、金融企业内部管理平台、对外业务站点与数据交互系统。ColdFusion 同时提供独立安装包与 Tomcat 等 JEE 容器部署两种形态,兼容 Windows、Linux 主流操作系统,是传统企业 Web 开发场景长期使用的成熟产品。
>>>>
漏洞描述
近日,奇安信CERT监测到官方修复Adobe ColdFusion 路径穿越漏洞(CVE-2026-48282),该漏洞源于远程开发服务(RDS)功能在处理文件操作时,未能正确限制对受限目录的路径名访问。攻击者可以利用此漏洞,通过向 /CFIDE/main/ide.cfm 端点发送特制的 RDS 请求绕过目录限制,实现任意文件读取、写入,最终在服务器上以当前用户权限执行任意代码。目前该漏洞PoC和技术细节已公开,鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
>>>>
利用条件
1.RDS 功能已启用(默认未启用)。
2.RDS 的身份验证功能被禁用。
02
影响范围
>>>>
影响版本
Adobe ColdFusion 2025 <= Update 9
Adobe ColdFusion 2023 <= Update 20
03
复现情况
目前,奇安信威胁情报中心安全研究员已成功复现Adobe ColdFusion 路径穿越漏洞(CVE-2026-48282),截图如下:

图1 任意文件读取

图2 任意文件写入

图3 远程代码执行
04
处置建议
>>>>
安全更新
目前官方已发布安全更新,建议用户尽快升级至最新版本:
Adobe ColdFusion 2025 >= Update 10
Adobe ColdFusion 2023 >= Update 21
升级后重启 ColdFusion 服务并验证补丁生效。
官方补丁下载地址:
https://helpx.adobe.com/security/products/coldfusion/apsb26-68.html
临时缓解措施:
1.禁用 RDS:如果业务不依赖远程开发服务,请在 ColdFusion 管理员中完全禁用 RDS 功能。
2.启用 RDS 身份验证:如果必须使用 RDS,请确保已启用强身份验证,并限制可访问 RDS 端点的 IP 地址。
05
参考资料
[1]https://helpx.adobe.com/security/products/coldfusion/apsb26-68.html
[2]https://labs.watchtowr.com/its-37oc-and-all-we-can-think-about-is-coldfusion-adobe-coldfusion-security-bulletin-apsb26-68-cve-bonanza/
声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。