在高性能开源 CFML(ColdFusion 标记语言)应用服务器 Lucee 中发现了一个严重安全漏洞。该漏洞编号为 CVE-2025-34074,CVSS 评分高达 9.4,可被认证管理员利用 Lucee 的计划任务功能执行任意远程代码。
Lucee 支持 Java 集成、HTTP、ORM 及动态脚本,广泛用于构建可扩展、高性能的应用程序。但正是这种灵活性,在控制不严的情况下,也可能带来严重安全隐患。
该漏洞存在于 Lucee 的管理界面,具体是在 /lucee/admin/web.cfm
中对计划任务的处理方式存在缺陷。攻击者可以配置任务,从远程恶意服务器拉取 .cfm
脚本(即 CFML 脚本),Lucee 会将该脚本写入 webroot 并立即执行,执行权限与 Lucee 服务器进程一致。
漏洞描述指出:“由于 Lucee 对通过计划任务拉取的文件缺乏完整性校验、路径限制与执行控制,该特性可被滥用实现远程代码执行。”
换句话说,一旦攻击者获取了管理员权限(无论是通过暴力破解、钓鱼、内部泄露还是已泄露的凭据),就可以轻松部署恶意代码,全面控制服务器。
漏洞影响范围广泛,覆盖所有支持计划任务的 Lucee 版本:
-
Lucee 5.x
-
Lucee 6.x
-
所有存在计划任务功能的早期版本
这一广泛影响使得及时修复与缓解成为系统管理员的优先任务。
更令人担忧的是,Metasploit 已发布该漏洞的利用模块,显著降低了攻击门槛。
攻击者可借此漏洞实现:
-
完全控制目标系统
-
安装持久后门
-
窃取凭据、横向移动
-
数据窃取或破坏
-
利用被控服务器搭建 C2 或发起内部攻击
由于 Lucee 被广泛用于企业与政府系统,该漏洞一旦被利用,可能导致数据泄露、业务中断甚至供应链安全事件。
在官方补丁发布前,强烈建议采取以下临时防护措施:
- 通过 IP 允许列表或 VPN 限制对 Lucee 管理界面的访问。
- 审核所有现有的计划任务,以查找可疑的远程文件提取。
- 监控 webroot 中的文件更改,尤其是意外.cfm文件。
- 查看管理员登录尝试并轮换凭据。
- 应用 Lucee 开发团队发布后的可用补丁或修补程序。
如果计划任务未处于主动使用状态,管理员还可以考虑暂时禁用该功能。
发表评论
您还未登录,请先登录。
登录