平台
coldfusion
组件
coldfusion
修复版本
2025.6.1
CVE-2026-27305 是 ColdFusion 中的路径遍历漏洞,允许攻击者读取文件系统中的敏感信息。该漏洞影响 ColdFusion 0.0.0 到 2025.6 版本。攻击者无需用户交互即可利用此漏洞,可能导致信息泄露。Adobe 已发布补丁,建议用户升级至 2025.6 版本。
该路径遍历漏洞允许未经授权的攻击者访问 ColdFusion 服务器的文件系统。攻击者可以通过构造恶意请求,访问 ColdFusion 应用程序及其底层服务器的敏感文件和目录,例如配置文件、源代码和数据库凭据。成功利用此漏洞可能导致敏感信息泄露、系统配置更改,甚至可能导致远程代码执行,具体取决于访问到的文件内容。由于无需用户交互,攻击者可以大规模扫描易受攻击的系统,并自动利用该漏洞。
该漏洞已公开披露,且无需用户交互即可利用。目前尚无已知的公开利用程序,但由于漏洞的严重性和易利用性,预计未来可能会出现。该漏洞尚未被添加到 CISA KEV 目录中。建议密切关注安全社区的动态,并及时采取缓解措施。
Organizations running ColdFusion applications, particularly those with sensitive data stored on the server, are at risk. This includes businesses relying on ColdFusion for web applications, e-commerce platforms, and internal systems. Legacy ColdFusion deployments and those with weak file system permissions are especially vulnerable.
• coldfusion:
Get-ChildItem -Path "C:\ColdFusion\wwwroot\" -Recurse -ErrorAction SilentlyContinue | Where-Object {$_.FullName -match '\.\.\'}• generic web:
curl -I http://your-coldfusion-server/../../../../etc/passwddisclosure
漏洞利用状态
EPSS
0.18% (39% 百分位)
CISA SSVC
最有效的缓解措施是立即将 ColdFusion 升级至 2025.6 版本或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:限制 ColdFusion 应用程序的访问权限,仅允许必要的用户和进程访问;实施 Web 应用程序防火墙 (WAF) 规则,以阻止包含路径遍历攻击模式的请求;审查 ColdFusion 应用程序的配置,确保文件访问权限受到适当限制;监控 ColdFusion 服务器的日志,以检测可疑活动。升级后,请验证漏洞是否已成功修复,例如通过尝试访问受限制的文件。
Adobe recomienda actualizar a una versión corregida de ColdFusion, como 2025.6 o posterior, para mitigar la vulnerabilidad de recorrido de ruta. Consulte la página de Adobe Security Advisory (APS) para obtener instrucciones detalladas sobre cómo aplicar la actualización.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-27305 是 ColdFusion 中一个路径遍历漏洞,攻击者可以利用它读取服务器上的敏感文件,无需用户交互。
如果您正在使用 ColdFusion 0.0.0 到 2025.6 版本,则可能受到影响。请立即升级至 2025.6 或更高版本。
最有效的修复方法是升级至 ColdFusion 2025.6 或更高版本。如果无法立即升级,请实施临时缓解措施,如 WAF 规则和访问控制。
虽然目前没有已知的公开利用程序,但由于漏洞的严重性和易利用性,预计未来可能会出现。
请访问 Adobe 安全公告页面查找官方公告:https://www.adobe.com/security/advisories/.
CVSS 向量