威胁预警

Adobe ColdFusion路径穿越漏洞(CVE-2026-48282)安全风险通告

来源:奇安信CERT
作者:管理员
2026/7/8
7 浏览

01 漏洞详情

影响组件

Adobe ColdFusion 是 Adobe 推出的企业级快速 Web 应用开发中间件,底层基于 Java 引擎运行,配套专属 CFML 标记语言,大幅降低动态业务网站开发成本。软件内置 RDS 远程开发调试服务、CKEditor 富文本编辑器、文件管理、邮件交互等配套功能模块,广泛用于政府、制造、金融企业内部管理平台、对外业务站点与数据交互系统。ColdFusion 同时提供独立安装包与 Tomcat 等 JEE 容器部署两种形态,兼容 Windows、Linux 主流操作系统,是传统企业 Web 开发场景长期使用的成熟产品。

漏洞描述

近日,奇安信CERT监测到官方修复Adobe ColdFusion 路径穿越漏洞(CVE-2026-48282),该漏洞源于远程开发服务(RDS)功能在处理文件操作时,未能正确限制对受限目录的路径名访问。攻击者可以利用此漏洞,通过向 /CFIDE/main/ide.cfm 端点发送特制的 RDS 请求绕过目录限制,实现任意文件读取、写入,最终在服务器上以当前用户权限执行任意代码。目前该漏洞PoC和技术细节已公开,鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。

利用条件

1.RDS 功能已启用(默认未启用)。

2.RDS 的身份验证功能被禁用。


02 影响范围

影响版本

Adobe ColdFusion 2025 <= Update 9

Adobe ColdFusion 2023 <= Update 20


03 复现情况

目前,奇安信威胁情报中心安全研究员已成功复现Adobe ColdFusion 路径穿越漏洞(CVE-2026-48282),截图如下:

1.png

图1 任意文件读取

2.png

图2 任意文件写入

3.png

图3 远程代码执行


04 处置建议

安全更新

目前官方已发布安全更新,建议用户尽快升级至最新版本:

Adobe ColdFusion 2025 >= Update 10

Adobe ColdFusion 2023 >= Update 21

升级后重启 ColdFusion 服务并验证补丁生效。

官方补丁下载地址:

https://helpx.adobe.com/security/products/coldfusion/apsb26-68.html

临时缓解措施:

1.禁用 RDS:如果业务不依赖远程开发服务,请在 ColdFusion 管理员中完全禁用 RDS 功能。

2.启用 RDS 身份验证:如果必须使用 RDS,请确保已启用强身份验证,并限制可访问 RDS 端点的 IP 地址。


05 参考资料

[1]https://helpx.adobe.com/security/products/coldfusion/apsb26-68.html

[2]https://labs.watchtowr.com/its-37oc-and-all-we-can-think-about-is-coldfusion-adobe-coldfusion-security-bulletin-apsb26-68-cve-bonanza/


新闻&活动

威胁预警

态势报告

技术支持

关于我们