高危Lucee漏洞(CVE-2025-34074,CVSS 9.4):通过计划任务滥用实现认证RCE,Metasploit模块已公开
💡
原文中文,约1400字,阅读约需4分钟。
📝
内容提要
高性能开源CFML应用服务器Lucee存在严重安全漏洞CVE-2025-34074,CVSS评分9.4,允许认证管理员滥用计划任务执行任意代码。所有支持计划任务的Lucee版本均受影响,建议立即限制管理界面访问并审计任务。
🎯
关键要点
-
高性能开源CFML应用服务器Lucee存在严重安全漏洞CVE-2025-34074,CVSS评分9.4。
-
该漏洞允许认证管理员滥用计划任务功能执行任意远程代码。
-
漏洞存在于Lucee管理界面,涉及计划任务处理机制。
-
所有支持计划任务的Lucee版本均受影响,包括Lucee 5.x和6.x。
-
攻击者可通过暴力破解、钓鱼攻击等方式获取管理员权限,部署恶意负载。
-
成功利用漏洞可导致系统沦陷、后门程序安装、凭据窃取等严重后果。
-
建议立即限制管理界面访问,审计现有计划任务,监控webroot目录文件变更。
-
及时应用Lucee开发团队发布的补丁或热修复,必要时可考虑禁用计划任务功能。
❓
延伸问答
CVE-2025-34074漏洞的主要影响是什么?
该漏洞允许认证管理员滥用计划任务功能执行任意远程代码,可能导致系统沦陷、后门程序安装和凭据窃取等严重后果。
如何防范Lucee的CVE-2025-34074漏洞?
建议通过IP白名单或VPN限制管理界面访问,审计现有计划任务,监控webroot目录文件变更,并及时应用补丁或热修复。
哪些版本的Lucee受到CVE-2025-34074漏洞的影响?
所有支持计划任务的Lucee版本均受影响,包括Lucee 5.x和6.x。
攻击者如何利用CVE-2025-34074漏洞?
攻击者可以通过暴力破解、钓鱼攻击等方式获取管理员权限,从而配置计划任务执行恶意代码。
CVE-2025-34074漏洞的CVSS评分是多少?
该漏洞的CVSS评分为9.4,属于高危漏洞。
Lucee的计划任务功能存在什么安全隐患?
Lucee未对计划任务获取实施完整性检查、路径限制或执行控制,导致该功能可被滥用以实现任意代码执行。
➡️
