Lucee 高危漏洞(CVE-2025-34074,CVSS 9.4):计划任务被滥用,Metasploit 模块已上线

阅读量9669

发布时间 : 2025-07-04 15:05:03

x
译文声明

本文是翻译文章,文章原作者 Ddos,文章来源:securityonline

原文地址:https://securityonline.info/critical-lucee-flaw-cve-2025-34074-cvss-9-4-authenticated-rce-via-scheduled-task-abuse-metasploit-module-out/

译文仅供参考,具体内容表达以及含义原文为准。

在高性能开源 CFML(ColdFusion 标记语言)应用服务器 Lucee 中发现了一个严重安全漏洞。该漏洞编号为 CVE-2025-34074,CVSS 评分高达 9.4,可被认证管理员利用 Lucee 的计划任务功能执行任意远程代码

Lucee 支持 Java 集成、HTTP、ORM 及动态脚本,广泛用于构建可扩展、高性能的应用程序。但正是这种灵活性,在控制不严的情况下,也可能带来严重安全隐患。

该漏洞存在于 Lucee 的管理界面,具体是在 /lucee/admin/web.cfm 中对计划任务的处理方式存在缺陷。攻击者可以配置任务,从远程恶意服务器拉取 .cfm 脚本(即 CFML 脚本),Lucee 会将该脚本写入 webroot 并立即执行,执行权限与 Lucee 服务器进程一致。

漏洞描述指出:“由于 Lucee 对通过计划任务拉取的文件缺乏完整性校验、路径限制与执行控制,该特性可被滥用实现远程代码执行。”

换句话说,一旦攻击者获取了管理员权限(无论是通过暴力破解、钓鱼、内部泄露还是已泄露的凭据),就可以轻松部署恶意代码,全面控制服务器

漏洞影响范围广泛,覆盖所有支持计划任务的 Lucee 版本:

  • Lucee 5.x

  • Lucee 6.x

  • 所有存在计划任务功能的早期版本

这一广泛影响使得及时修复与缓解成为系统管理员的优先任务。

更令人担忧的是,Metasploit 已发布该漏洞的利用模块,显著降低了攻击门槛。

攻击者可借此漏洞实现:

  • 完全控制目标系统

  • 安装持久后门

  • 窃取凭据、横向移动

  • 数据窃取或破坏

  • 利用被控服务器搭建 C2 或发起内部攻击

由于 Lucee 被广泛用于企业与政府系统,该漏洞一旦被利用,可能导致数据泄露、业务中断甚至供应链安全事件

在官方补丁发布前,强烈建议采取以下临时防护措施:

  • 通过 IP 允许列表或 VPN 限制对 Lucee 管理界面的访问。
  • 审核所有现有的计划任务,以查找可疑的远程文件提取。
  • 监控 webroot 中的文件更改,尤其是意外.cfm文件。
  • 查看管理员登录尝试并轮换凭据。
  • 应用 Lucee 开发团队发布后的可用补丁或修补程序。

如果计划任务未处于主动使用状态,管理员还可以考虑暂时禁用该功能。

本文翻译自securityonline 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

安全客

这个人太懒了,签名都懒得写一个

  • 文章
  • 142
  • 粉丝
  • 1

热门推荐

文章目录
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全KER All Rights Reserved 京ICP备08010314号-66