本周确认在野利用:ColdFusion CVE-2026-48282 运维处置指南

本周确认在野利用:ColdFusion CVE-2026-48282 运维处置指南

厂商公告发布于 6 月 30 日、本周确认在野利用的 CVE-2026-48282 影响 ColdFusion 2025 Update 9 及更早版本、ColdFusion 2023 Update 20 及更早版本。本文按企业运维负责人的视角给出资产排查、临时降风险、补丁升级和入侵回溯的执行顺序。

说明:按「本周新披露且已确认真实利用」的严格口径,7 月 6 日至 7 月 8 日暂未找到官方/厂商确认闭环、且影响面强过本题的合格新披露漏洞。本期作为首发样例,把时间窗扩大到 6 月 30 日披露、并在本周确认在野利用的 Adobe ColdFusion CVE-2026-48282;后续更新会严格按每周窗口筛选。
如果你们的资产里还有 Adobe ColdFusion,尤其是放在公网、VPN 后面、业务门户后面的那几台,现在不要等月度补丁窗口。CVE-2026-48282 已经从「厂商高危公告」升级成「CISA 确认在野利用」:CISA 在 2026 年 7 月 7 日把它加入 KEV,理由是有主动利用证据;Adobe 也在公告里更新称,已知该漏洞在针对 ColdFusion 的有限攻击中被利用。12
这期的结论很直接:先把所有 ColdFusion 找出来,公网可达的优先隔离或限制访问,随后升级到 ColdFusion 2025 Update 10 或 2023 Update 21,并且回查过去一周是否已经被写入恶意文件。

这漏洞是怎么回事

CVE-2026-48282 是 Adobe ColdFusion 的路径遍历漏洞,影响 ColdFusion 2025 Update 9 及更早版本、ColdFusion 2023 Update 20 及更早版本。Adobe 给它的 CVSS 3.1 基础分是 10.0,向量是 AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H,意思是网络可达、攻击复杂度低、无需权限、无需用户交互,成功后可能造成机密性、完整性、可用性全高影响。32
路径遍历听起来像「读错目录」的小问题,但放在应用服务器上就不是小问题了。公开分析把这条链路指向 ColdFusion 的 Remote Development Services,攻击者可能通过构造 HTTP 请求把恶意文件放进 Web 可访问位置,再让服务器执行它;Help Net Security 同时提醒,成功利用通常要求目标启用了 RDS,且 RDS 认证被关闭。4
换成运维语言:如果一台 ColdFusion 主机既版本落后,又把危险开发能力暴露在可达网络上,攻击者不需要员工点邮件,也不需要普通账号,就可能把服务器变成落脚点。

为什么本周该优先处理它

判断点对运维负责人的含义
CISA 在 7 月 7 日加入 KEV,明确基于主动利用证据。1这不是「理论漏洞」,而是已经有人在打。
Adobe 公告把 CVE-2026-48282 标为 Critical,CVSS 10.0,并建议尽快安装优先级 1 的更新。2不适合按普通季度维护处理。
BleepingComputer 报道称 KEVIntel 在公开细节发布后不到两小时就捕获了在野利用,Shadowserver 还跟踪到接近 800 台互联网暴露的 ColdFusion 实例。5暴露面虽然不像 Windows 那样巨大,但很适合被批量扫描和定向打点。
Help Net Security 报道建议互联网可达或过去一周曾经可达的服务器,检查 Web root 和 /CFIDE/ 目录下是否有未授权文件。4打补丁之后还要做回溯排查,不能只关门不看屋里有没有人。
这也是为什么我把它排在 SharePoint、Oracle E-Business Suite 等同周候选之前:SharePoint CVE-2026-45659 的 KEV 动作发生在 7 月 2 日,已经越过本周窗口;Oracle EBS 候选也有影响面,但本周最清晰、最权威的新增 KEV 信号是 ColdFusion。6

现在具体该干什么

1. 今天先找资产,不要只问应用团队

先从四个地方同时查:外部攻击面管理、负载均衡和反向代理配置、CMDB 或资产台账、EDR/主机软件清单。关键词不要只搜 ColdFusion,也要搜 CFIDEcfusionAdobe ColdFusion、历史域名和旧业务系统名。
你要拿到三列结果:主机名或 IP、是否公网或半公网可达、版本号。版本判断必须落到 Update 级别,不能只写「ColdFusion 2023」。受影响边界是 ColdFusion 2025 Update 9 及更早、ColdFusion 2023 Update 20 及更早。2

2. 先压暴露面,再排补丁窗口

如果发现公网可达的受影响实例,先做临时降风险:限制来源 IP、收紧 WAF 或反向代理规则、下线不必要入口、确认 RDS 没有对非可信网络开放。Help Net Security 报道的利用条件里,RDS 启用且认证关闭是关键风险组合;这类配置要优先处理。4
这一步不是替代补丁,而是给补丁争取几个小时。对外业务不能立刻停的系统,至少要把「任何人都能直接碰到 ColdFusion」改成「只有受控网络路径能碰到」。

3. 升级到明确修复版本

Adobe 给出的修复版本是 ColdFusion 2025 Update 10 和 ColdFusion 2023 Update 21,两个版本都标为 Priority 1。2
派单时不要只写「安装最新补丁」。建议把验收条件写清楚:
  1. 主机实际版本已经高于受影响边界。
  2. 应用服务重启后业务健康检查通过。
  3. 反向代理和 WAF 规则仍然生效。
  4. RDS、管理控制台、开发接口没有被重新暴露。
  5. 回滚包已准备,但不能把回滚当作长期状态。

4. 补丁前后的妥协要有记录

如果业务窗口卡住,至少记录三个事实:为什么不能立即升级、当前临时控制是什么、下一次升级时间是什么。对互联网可达的 ColdFusion,临时控制不能只写「等待业务确认」。这类系统要么限制访问,要么有人承担明确风险。
CISA 的 KEV 说明把这类漏洞视为恶意攻击者常用路径,并鼓励所有组织采用基于风险的漏洞管理。1 这句话翻译到企业内部,就是安全团队可以把它从普通工单升级为应急变更。

打完补丁还要查什么

这类漏洞最容易出现一个误判:补丁成功了,风险就结束了。实际要先确认攻击者有没有在补丁前写入东西。

先看文件和目录

对过去一周公网可达、VPN 可达、合作方网络可达的主机,优先检查 Web root、/CFIDE/ 及相关应用目录下的新文件、异常模板、可执行脚本、压缩包和修改时间异常的文件。Help Net Security 明确建议对互联网可达或过去一周曾可达的服务器检查这些位置的未授权文件。4
不要只搜一个公开 IoC。现在的信息更像早期利用和扫描阶段,攻击者请求、文件名和落地方式可能很快变化。文件时间线比单个特征串更重要。

再看进程和账号

ColdFusion 进程如果在异常时间启动了 shell、脚本解释器、压缩工具、下载工具、横向移动工具,应该按入侵处理,而不是按补丁失败处理。还要看 ColdFusion 服务账号的权限:本地管理员、数据库高权账号、共享目录写权限、历史遗留的域权限,都可能把一次 Web 应用服务器入侵放大成内网事件。
如果怀疑已被利用,至少轮换这台服务器可读到的数据库密码、API 密钥、服务账号凭据和应用配置密钥。攻击者拿到服务器执行权后,配置文件往往比漏洞本身更值钱。

三种处置优先级

你查到的状态今天的动作
公网可达,且是 ColdFusion 2025 Update 9 / 2023 Update 20 或更早立即限制访问或临时下线危险入口;当天升级到 2025 Update 10 / 2023 Update 21;补丁前后做入侵排查。2
不在公网,但 VPN、合作方网络、办公网可达48 小时内完成升级;同时检查 RDS、管理控制台和服务账号权限;如果近期 VPN 或终端有失陷迹象,按公网级别处理。
没有 ColdFusion,或版本已在修复版本以上记录「无暴露」证据,保留资产查询结果;下周复核是否有灾备、测试、旧域名漏网。

给管理层的一句话

这不是一个「只有老系统才会中招」的小众问题,而是典型的遗留 Web 应用风险:暴露面不一定大,但一旦命中,攻击门槛低、影响重、很容易接上后续入侵。今天的目标不是写一份漂亮报告,而是把 ColdFusion 资产找全、把可达面收窄、把版本升上去、把补丁前的时间线查干净。

Related content

  • Sign in to comment.