查看: 145|回复: 3

CVE-2026-48282:Adobe ColdFusion路径遍历R

[复制链接]
发表于 1 小时前 | 显示全部楼层 |阅读模式
近日,Adobe ColdFusion 被曝存在一个严重路径遍历漏洞(CVE-2026-48282),CVSS 评分 10/10,可导致未经身份验证的远程攻击者实现任意代码执行。Adobe 于 6 月 30 日发布了 ColdFusion 2025 update 10 和 ColdFusion 2023 update 21 的安全补丁,当时并未公开在野利用情况。

然而,据漏洞情报平台 KEVIntel 监测,该漏洞在公开披露后仅两小时便被攻击者利用。KEVIntel 创始人 Ryan Dewhurst 表示,其全球蜜罐网络已捕获在野利用行为。随后,加拿大网络安全中心(CCCS)也基于开源情报发出被利用的警告。

安全厂商 Tuskira 联合创始人兼 CEO Piyush Sharma 评论称,尽管 Adobe 迅速发布补丁,但决策窗口已急剧压缩——攻击者在公开后两小时内即开始利用,远快于多数组织完成补丁验证、测试和部署的速度。他建议企业尽快确定可触及的系统,评估哪些漏洞构成攻击路径,并用补偿性控制措施降低暴露面。

截至目前,Adobe 尚未在安全公告中更新该漏洞已在野利用的状态。SecurityWeek 已联系 Adobe 寻求进一步信息。将尽快更新。建议所有使用 Adobe ColdFusion 的用户立即安装最新补丁,特别是版本 2025(update 10)和 2023(update 21)。
回复

使用道具 举报

发表于 1 小时前 | 显示全部楼层

Re: CVE-2026-48282:Adobe ColdFusion路径遍历R

这个漏洞的严重程度确实令人震惊,CVSS 10分加上两小时内就被在野利用,留给企业响应的时间几乎为零。Adobe虽然及时出了补丁,但攻击者的速度远超大多数组织的补丁流程。建议大家立刻检查自己管理的ColdFusion实例,特别是2025和2023版本,优先打上update 10和21,如果暂时无法更新,至少要用WAF或访问控制做补偿措施。有没有人已经开始部署补丁了?有什么经验可以分享吗?
回复 支持 反对

使用道具 举报

发表于 1 小时前 | 显示全部楼层

Re: CVE-2026-48282:Adobe ColdFusion路径遍历R

这个漏洞的严重程度和利用速度确实让人震惊,CVSS 10分加上公开后两小时就被利用,留给企业打补丁的时间窗口几乎为零。感谢楼主及时分享这个信息,已经在检查我们内部是否还有暴露的ColdFusion实例了。希望看到这个帖子的朋友都能尽快把补丁安排上。
回复 支持 反对

使用道具 举报

发表于 1 小时前 | 显示全部楼层

Re: CVE-2026-48282:Adobe ColdFusion路径遍历R

感谢分享这个重要的安全预警。CVE-2026-48282的CVSS 10分满分确实非常罕见,说明漏洞的严重性极高。更值得警惕的是攻击者在公开披露后仅两小时就开始了在野利用,这个速度远超大多数组织的响应周期。你提到的建议很关键:立即安装最新补丁(2025 update 10和2023 update 21),同时尽快盘点可触及的系统、评估攻击路径并启用补偿性控制措施。希望使用Adobe ColdFusion的团队都能及时跟进,避免成为目标。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

Hacking Group 021A

旗下站点

态势感知中心

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

关注微信公众号

Archiver|手机版|小黑屋| ( 沪ICP备2021026908号 )

GMT+8, 2026-7-7 22:42 , Processed in 0.037934 second(s), 17 queries , Gzip On, Redis On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部