01 漏洞详情
影响组件
Adobe ColdFusion 是 Adobe 推出的企业级快速 Web 应用开发中间件,底层基于 Java 引擎运行,配套专属 CFML 标记语言,大幅降低动态业务网站开发成本。软件内置 RDS 远程开发调试服务、CKEditor 富文本编辑器、文件管理、邮件交互等配套功能模块,广泛用于政府、制造、金融企业内部管理平台、对外业务站点与数据交互系统。ColdFusion 同时提供独立安装包与 Tomcat 等 JEE 容器部署两种形态,兼容 Windows、Linux 主流操作系统,是传统企业 Web 开发场景长期使用的成熟产品。
漏洞描述
近日,奇安信CERT监测到官方修复Adobe ColdFusion 路径穿越漏洞(CVE-2026-48282),该漏洞源于远程开发服务(RDS)功能在处理文件操作时,未能正确限制对受限目录的路径名访问。攻击者可以利用此漏洞,通过向 /CFIDE/main/ide.cfm 端点发送特制的 RDS 请求绕过目录限制,实现任意文件读取、写入,最终在服务器上以当前用户权限执行任意代码。目前该漏洞PoC和技术细节已公开,鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
利用条件
1.RDS 功能已启用(默认未启用)。
2.RDS 的身份验证功能被禁用。
02 影响范围
影响版本
Adobe ColdFusion 2025 <= Update 9
Adobe ColdFusion 2023 <= Update 20
03 复现情况
目前,奇安信威胁情报中心安全研究员已成功复现Adobe ColdFusion 路径穿越漏洞(CVE-2026-48282),截图如下:

图1 任意文件读取

图2 任意文件写入

图3 远程代码执行
04 处置建议
安全更新
目前官方已发布安全更新,建议用户尽快升级至最新版本:
Adobe ColdFusion 2025 >= Update 10
Adobe ColdFusion 2023 >= Update 21
升级后重启 ColdFusion 服务并验证补丁生效。
官方补丁下载地址:
https://helpx.adobe.com/security/products/coldfusion/apsb26-68.html
临时缓解措施:
1.禁用 RDS:如果业务不依赖远程开发服务,请在 ColdFusion 管理员中完全禁用 RDS 功能。
2.启用 RDS 身份验证:如果必须使用 RDS,请确保已启用强身份验证,并限制可访问 RDS 端点的 IP 地址。
05 参考资料
[1]https://helpx.adobe.com/security/products/coldfusion/apsb26-68.html
[2]https://labs.watchtowr.com/its-37oc-and-all-we-can-think-about-is-coldfusion-adobe-coldfusion-security-bulletin-apsb26-68-cve-bonanza/