高危Lucee漏洞（CVE-2025-34074，CVSS 9.4）：通过计划任务滥用实现认证RCE，Metasploit模块已公开

高性能开源CFML（ColdFusion Markup Language）应用服务器Lucee近日曝出严重安全漏洞。该漏洞编号为CVE-2025-34074，CVSS评分高达9.4，允许已认证管理员通过滥用Lucee计划任务功能执行任意远程代码。

漏洞技术细节

Lucee凭借对Java集成、HTTP、ORM和动态脚本的支持，被开发者广泛用于构建可扩展的高速应用程序。但这种灵活性若缺乏严格控制，也会带来严重安全隐患。

漏洞存在于Lucee管理界面中，具体涉及计划任务处理机制。拥有/lucee/admin/web.cfm访问权限的认证用户可配置任务，从攻击者控制的服务器获取远程.cfm文件（CFML脚本）。Lucee会将该文件写入其webroot目录，并以Lucee服务器进程的完整权限自动执行。

CVE描述明确指出："由于Lucee未对计划任务获取实施完整性检查、路径限制或执行控制，该功能可被滥用以实现任意代码执行。"

影响范围与攻击场景

该漏洞影响所有支持计划任务功能的Lucee版本：

• Lucee 5.x
• Lucee 6.x
• 所有存在计划任务功能的早期版本

攻击者一旦通过暴力破解、钓鱼攻击、内部人员泄露或先前泄露的凭据获取管理员权限，即可轻松部署恶意负载控制整个服务器。更严重的是，该漏洞的Metasploit模块已公开发布，大幅降低了攻击门槛。

成功利用此漏洞可导致：

• 系统完全沦陷
• 后门程序安装
• 凭据窃取或内网横向移动
• 数据泄露或销毁
• 服务器被滥用于横向渗透或C2托管

缓解措施建议

鉴于Lucee广泛应用于企业和政府系统，建议组织立即采取以下措施：

• 通过IP白名单或VPN限制Lucee管理界面访问
• 审计所有现有计划任务，排查可疑远程文件拉取
• 监控webroot目录文件变更，特别是异常.cfm文件
• 审查管理员登录尝试并轮换凭据
• 及时应用Lucee开发团队发布的补丁或热修复

如非必要使用场景，管理员可考虑临时禁用计划任务功能。