「Lucee」にクリティカル脆弱性 - 悪用コード公開済み
オープンソースの「CFMLサーバ」である「Lucee」に脆弱性が明らかとなった。エクスプロイトコードも公開されている。
同サーバは、「ColdFusion Markup Language」との互換性を持ったウェブアプリケーション開発フレームワーク。
管理インターフェースにおいてリモートから任意のコードを実行できる脆弱性「CVE-2025-34074」が明らかとなった。以前判明している「CVE-2024-55354」とは異なる脆弱性としている。
悪用には管理画面へログインし、スケジュールタスク機能を利用して外部サーバから細工されたファイルを取得することで、「Lucee」のサービスアカウント権限によりサーバ上で任意のコードが実行可能となる。
共通脆弱性評価システム「CVSSv4.0」のベーススコアは「9.4」と評価されており、重要度は4段階中もっとも高い「クリティカル(Critical)」とレーティングされている。
「Lucee 6.x」「同5.x」に影響があり、修正バージョンは不明。すでにエクスプロイトコードも公開されている。
(Security NEXT - 2025/07/03 )
ツイート
関連リンク
PR
関連記事
MS、8月の月例セキュリティ更新で100件以上の脆弱性に対応
「WinRAR」に深刻な脆弱性 - ゼロデイ攻撃で判明
秘密管理ツール「OpenBao」に脆弱性 - 任意のコード実行が可能に
Omnissaのメールセキュリティ製品にSSRFの脆弱性 - アップデートが公開
「Microsoft Edge」にセキュリティアップデート - 脆弱性8件を修正
米政府、「Exchange Server」脆弱性で緊急指令 - 週末返上での対応求める
「JWE」のRuby実装に深刻な脆弱性 - 総当たり攻撃のおそれ
「Exchange Server」のハイブリッド構成に深刻な脆弱性 - MSが定例外パッチ
「Azure」や「MS 365 Copilot BizChat」に深刻な脆弱性 - 対応は不要
「HashiCorp Vault」のLDAP認証で多要素認証バイパスのおそれ