Adobe ColdFusion 远程开发服务路径遍历

critical Web App Scanning 插件 ID 115295

简介

Adobe ColdFusion 远程开发服务路径遍历

描述

远程 Adobe ColdFusion 实例在未经认证的情况下启用了其远程开发服务 (RDS),并受到通过 /CFIDE/main/ide.cfm 端点暴露的 RDS FILEIO 处理程序中路径遍历漏洞的影响。未经认证的远程攻击者可利用此问题读取和写入底层文件系统上的任意文件,最终导致在 ColdFusion 服务帐户的上下文中执行任意代码。

Adobe ColdFusion 2025(Update 9 及更早版本)和 2023(Update 20 及更早版本)受到影响。

解决方案

升级至 Adobe ColdFusion 2025 Update 10、ColdFusion 2023 Update 21 或更高版本。如果不需要 RDS,请确保将其禁用并保护密码。

另见

https://helpx.adobe.com/security/products/coldfusion/apsb26-68.html

插件详情

严重性: Critical

ID: 115295

类型: Check Based

发布时间: 2026/7/13

最近更新时间: 2026/7/13

扫描模板: basic, full, pci, scan

风险信息

VPR

风险因素: Critical

分数: 9.5

百分位: 99.86

CVSS v2

风险因素: Critical

基本分数: 10

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2026-48282

CVSS v3

风险因素: Critical

基本分数: 10

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

CVSS 分数来源: CVE-2026-48282

漏洞信息

CPE: cpe:2.3:a:adobe:coldfusion:*:*:*:*:*:*:*:*

可利用: true

易利用性: Exploits are available

补丁发布日期: 2026/6/30

漏洞发布日期: 2026/6/16

CISA 已知可遭利用的漏洞到期日期: 2026/7/10

参考资料信息

CVE: CVE-2026-48282