在高性能开源 CFML（ColdFusion 标记语言）应用服务器 Lucee 中发现了一个严重安全漏洞。该漏洞编号为 CVE-2025-34074，CVSS 评分高达 9.4，可被认证管理员利用 Lucee 的计划任务功能执行任意远程代码。

Lucee 支持 Java 集成、HTTP、ORM 及动态脚本，广泛用于构建可扩展、高性能的应用程序。但正是这种灵活性，在控制不严的情况下，也可能带来严重安全隐患。

该漏洞存在于 Lucee 的管理界面，具体是在 /lucee/admin/web.cfm 中对计划任务的处理方式存在缺陷。攻击者可以配置任务，从远程恶意服务器拉取 .cfm 脚本（即 CFML 脚本），Lucee 会将该脚本写入 webroot 并立即执行，执行权限与 Lucee 服务器进程一致。

漏洞描述指出：“由于 Lucee 对通过计划任务拉取的文件缺乏完整性校验、路径限制与执行控制，该特性可被滥用实现远程代码执行。”

换句话说，一旦攻击者获取了管理员权限（无论是通过暴力破解、钓鱼、内部泄露还是已泄露的凭据），就可以轻松部署恶意代码，全面控制服务器。

漏洞影响范围广泛，覆盖所有支持计划任务的 Lucee 版本：

• Lucee 5.x

• Lucee 6.x

• 所有存在计划任务功能的早期版本

这一广泛影响使得及时修复与缓解成为系统管理员的优先任务。

更令人担忧的是，Metasploit 已发布该漏洞的利用模块，显著降低了攻击门槛。

攻击者可借此漏洞实现：

• 完全控制目标系统

• 安装持久后门

• 窃取凭据、横向移动

• 数据窃取或破坏

• 利用被控服务器搭建 C2 或发起内部攻击

由于 Lucee 被广泛用于企业与政府系统，该漏洞一旦被利用，可能导致数据泄露、业务中断甚至供应链安全事件。

在官方补丁发布前，强烈建议采取以下临时防护措施：

通过 IP 允许列表或 VPN 限制对 Lucee 管理界面的访问。审核所有现有的计划任务，以查找可疑的远程文件提取。监控 webroot 中的文件更改，尤其是意外.cfm文件。查看管理员登录尝试并轮换凭据。应用 Lucee 开发团队发布后的可用补丁或修补程序。

如果计划任务未处于主动使用状态，管理员还可以考虑暂时禁用该功能。