
ColdFusion 滿分漏洞兩個鐘見攻擊:舊 web app 唔 patch 就係入口
Adobe 6 月底補咗 7 個滿分洞,外網 ColdFusion 要即刻查版本
兩個鐘,夠晒說明問題
iThome 報道,Adobe 6 月 30 日公開 ColdFusion 同 Campaign Classic 一批高危修補,入面 ColdFusion APSB26-68 已經有 6 個 CVSS 10.0 漏洞。麻煩位唔只係分數夠嚇人;CVE-2026-48282 呢個 path traversal 洞,KEVIntel 指公開技術細節出街後唔夠兩個鐘,佢哋蜜罐已見到嘗試利用。KEVIntel 自己頁面亦標示,第一筆 sensor 記錄係 2026 年 7 月 2 日 16:52 UTC。加拿大 Cyber Centre 同日提醒,開源情報顯示有人利用緊呢個 CVE,admin 唔應該當成普通月度 patch。要留意,Adobe 發公告嗰刻仍寫未掌握 in-the-wild exploit;幾日內外部情報已見到攻擊,呢個時間差好容易令 admin 食虧。

圖片:Adobe Security Blog
版本同 CVE 先對清楚
Adobe 官方 APSB26-68 寫得好清楚:ColdFusion 2025 Update 9 或之前、ColdFusion 2023 Update 20 或之前都受影響;修補版係 2025 Update 10 同 2023 Update 21。呢批洞涵蓋任意代碼執行、提權、任意檔案系統讀取同安全限制繞過,CVE-2026-48282 本身係 CVSS 10.0,網上可打、低複雜度、唔使登入、唔使有人互動。換句話講,只要 ColdFusion 管理面、CFIDE 或相關 endpoint 曾經放咗出去,就唔好當成小修小補。
同日 APSB26-69 又補 Adobe Campaign Classic ACC v7: 7.4.3 build 9396 或之前嘅 CVE-2026-48286,同樣係 CVSS 10.0;不過 Adobe 寫明受影響係 on-premise 同 hybrid 入面嘅 on-premise components,Adobe-hosted instances 已經補好。做 marketing platform 嘅 admin 要睇,但今次攻擊聲響集中喺 ColdFusion,優先次序唔好擺錯。
舊 web app 最怕冇人認頭
ColdFusion 算係老牌 stack,但呢啲舊 Java web app 往往黐住 CRM、表格、校內系統、會員資料庫、舊 payment flow。真正麻煩位落喺資產盤點:好多公司連自己仲有冇跑 ColdFusion 都答唔實。BleepingComputer 引用 Shadowserver 指,網上仍見到接近 800 個 ColdFusion instance;呢個數唔等於全部有洞,亦可能混有蜜罐同已補好嘅機,但足夠提醒 IT:舊系統冇上新聞,唔代表冇人掃。
暫時冇可靠公開掃描數字可以估香港 exposure,講成全港危機就過火。不過香港中小企、學校、NGO 同政府外判項目,確實有機會留低十幾年前起嘅 CFML / Java app;風險同其他地方一樣,server 掛喺外面,內部冇人認頭,供應商合約又過晒保養,最後就變成「明知舊,但冇人敢郁」。
今日應該點查
公司 IT 今日可以先做四件事。第一,查 ColdFusion 版本,唔好淨係問供應商,要入 server 或 inventory 對 2025 Update 10 / 2023 Update 21。第二,搵清楚 CFIDE、ColdFusion Administrator、內置 Tomcat 8500、RDS 有冇對外;watchTowr 拆補丁後指出,有風險面涉及 RDS/CFIDE 嘅 file I/O 流程,佢哋亦寫明 RDS 相關條件唔係預設全開,但只要當年用咗 dev profile 或後來有人手動開返,就要當成紅燈。第三,WAF 或反向 proxy 先擋 traversal、FILEIO、READ、WRITE 呢類 pattern,唔好當 WAF 可以代替 patch。第四,翻 7 月 2 日之後 web log、app log、WAF log,睇有冇讀 win.ini、寫檔、CFIDE 異常 request。
WAF 只係拖時間
今次值得記住嘅位好簡單:patch release、技術分析、攻擊嘗試之間嘅窗口而家縮到以小時計,唔再係等下個維護窗先算。Adobe 自己都喺 Security Blog 講,AI 令漏洞發現同攻擊節奏加速,所以 7 月 14 日起安全公告會由每月一次改為每月兩次。呢個改動聽落似廠商流程,其實對 admin 好現實:如果 patch 流程要等 CAB、供應商排期、夜晚停機,外網系統就要有臨時阻擋同監察頂住,中長線就要令 ColdFusion 由「冇人敢郁」變返成有 owner、有版本、有替代計劃嘅資產。
對仲喺跑 ColdFusion 2025 Update 9 / 2023 Update 20 或之前嘅團隊,排序好清楚:先 patch;未 patch 到,就收窄外網、關 RDS/CFIDE 非必要入口、加 WAF rule,同保住 log。舊 app 可以慢慢退場,但外網漏洞唔會等你慢慢開會。
參考來源
- iThome — Adobe揭露的滿分ColdFusion漏洞傳出兩小時後就出現實際攻擊 — original report
- Adobe APSB26-68:ColdFusion security update — 官方 ColdFusion bulletin,用嚟核對受影響版本、修補版本、CVE 同 CVSS。
- KEVIntel:CVE-2026-48282 Exploitation Observed — 蜜罐觀測頁,用嚟核對 7 月 2 日 16:52 UTC 首次 sensor 記錄、嘗試次數同利用狀態。
- Canadian Centre for Cyber Security AV26-647 — 政府級提醒,確認開源情報指 CVE-2026-48282 已有人利用。
- watchTowr Labs:Adobe ColdFusion APSB26-68 analysis — 技術分析背景,用嚟理解 RDS/CFIDE、file I/O 風險面同補丁差異。
- Adobe APSB26-69:Campaign Classic security update — 核對 Campaign Classic CVE-2026-48286、受影響 build 同 Adobe-hosted/on-premise 分別。
- BleepingComputer:ColdFusion flaw now exploited — 用嚟核對 Shadowserver 接近 800 個外露 ColdFusion instance 呢個公開統計。
- Adobe Security Blog:AI-accelerated vulnerability discovery — 用嚟補背景:Adobe 7 月 14 日起安全公告節奏改為每月兩次。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







