CISA 紧急命令:美国政府机构修复 Adobe ColdFusion 漏洞,因已发现实际攻击
美国网络安全机构命令联邦政府机构紧急更新 Adobe ColdFusion 软件,因发现黑客正在利用其关键漏洞进行攻击。
📅 2026年7月9日 00:46
美国网络安全和基础设施安全局 (CISA) 已发布紧急指令,要求美国联邦政府机构更新 Adobe ColdFusion(一个用于开发网络应用程序的平台)的安全补丁。 此指令是在发现一个关键级别的安全漏洞 CVE-2026-48282 后发布的。该漏洞属于路径遍历 (Path Traversal) 类型,可导致越界文件访问,影响 ColdFusion 2025.9、2023.20 及更早版本。该漏洞允许恶意行为者在无需复杂访问权限的情况下远程执行恶意代码。 令人担忧的是,CISA 确认此漏洞已被实际利用,因此于 2026 年 7 月 7 日将其添加至“已知被利用漏洞 (KEV) 目录”。Adobe 在此之前一周已发布修复补丁,并建议用户尽快安装。KEVIntel 的研究人员报告称,在漏洞详情公开不到两小时内就检测到攻击尝试。
Why it matters
尽管此指令适用于美国政府机构,但使用 Adobe ColdFusion 的泰国公司和组织同样面临高风险,应立即更新安全补丁以防范攻击。
尽管此指令适用于美国政府机构,但使用 Adobe ColdFusion 的泰国公司和组织同样面临高风险,应立即更新安全补丁以防范攻击。
Sources (rewritten & summarized from): BleepingComputer · CISA orders feds to patch max severity ColdFusion flaw by Friday · Max severity Adobe ColdFusion flaw now exploited in attacks · CISA orders feds to patch max severity ColdFusion flaw by Friday · CISA orders feds to patch max severity ColdFusion flaw by Friday - Industry News / Cyber Threat Intel Feed - KSEC Community Forum · Adobe patches seven max severity ColdFusion, Campaign flaws