Adobe ColdFusion 遠端開發服務路徑遊走

critical Web App Scanning Plugin ID 115295

概要

Adobe ColdFusion 遠端開發服務路徑遊走

說明

遠端 Adobe ColdFusion 執行個體在未經驗證的情況下啟用其遠端開發服務 (RDS),並且會受到透過 /CFIDE/main/ide.cfm 端點公開的 RDS FILEIO 處理常式中的路徑遊走弱點所影響。未經驗證的遠端攻擊者可利用此問題讀取和寫入基礎檔案系統上的任意檔案,最終導致在 ColdFusion 服務帳戶的內容中執行任意程式碼。

Adobe ColdFusion 2025 (Update 9 及更早版本) 和 2023 (Update 20 及更早版本) 會受到影響。

解決方案

升級至 Adobe ColdFusion 2025 Update 10、ColdFusion 2023 Update 21 或更新版本。如果不需要 RDS,請確定其已停用並且受密碼保護。

另請參閱

https://helpx.adobe.com/security/products/coldfusion/apsb26-68.html

Plugin 詳細資訊

嚴重性: Critical

ID: 115295

類型: Check Based

已發布: 2026/7/13

已更新: 2026/7/13

掃描範本: basic, full, pci, scan

風險資訊

VPR

風險因素: Critical

分數: 9.5

百分位: 99.86

CVSS v2

風險因素: Critical

基本分數: 10

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2026-48282

CVSS v3

風險因素: Critical

基本分數: 10

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

CVSS 評分資料來源: CVE-2026-48282

弱點資訊

CPE: cpe:2.3:a:adobe:coldfusion:*:*:*:*:*:*:*:*

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2026/6/30

弱點發布日期: 2026/6/16

CISA 已知遭惡意利用弱點到期日: 2026/7/10

參考資訊

CVE: CVE-2026-48282