CVE-2025-61811 CVSS 9.1 严重

CVE-2025-61811 Adobe ColdFusion 访问控制不当导致远程代码执行

披露日期: 2025-12-10

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-61811

漏洞类型

访问控制不当/远程代码执行

CVSS评分

9.1 严重

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Adobe ColdFusion 2025, 2023, 2021

漏洞概述

Adobe ColdFusion 存在访问控制不当漏洞，攻击者可以利用高权限账户绕过安全限制，在服务器上执行任意代码。该漏洞影响 ColdFusion 2025.4、2023.16、2021.22 及更早版本。攻击无需用户交互，作用域发生变化，可能导致机密性、完整性和可用性受到严重影响。CVSS 评分 9.1，属于严重级别。

技术细节

该漏洞为访问控制不当（Improper Access Control），存在于 ColdFusion 的身份验证和授权机制中。攻击者通过构造特定请求，利用高权限账户的访问令牌，绕过安全检查，执行未授权的操作。由于权限级别要求为高（PR:H），攻击者需要具备一定的系统访问权限，但一旦利用成功，可在服务器上下文环境中执行任意代码。

攻击链分析

STEP 1

Reconnaissance

扫描目标服务器，识别 ColdFusion 版本

STEP 2

Authentication

获取高权限账户凭据

STEP 3

Exploitation

发送特制请求，绕过访问控制

STEP 4

Code Execution

在服务器上执行任意代码

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

target = 'http://target.com/CFIDE/administrator/'
data = {
    'controller': 'accesscontrol',
    'action': 'bypass',
    'username': 'admin',
    'token': 'high_privilege_token'
}

response = requests.post(target, json=data)
print(response.status_code)

影响范围

Adobe ColdFusion 2025.4 及更早版本

Adobe ColdFusion 2023.16 及更早版本

Adobe ColdFusion 2021.22 及更早版本

防御指南

临时缓解措施

临时缓解措施：限制对 ColdFusion 管理接口的网络访问，启用审计日志，监控异常访问模式。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表