Vulnerabilidad en Lucee (CVE-2025-34074)
Gravedad CVSS v4.0:
CRÍTICA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
02/07/2025
Última modificación:
03/07/2025
Descripción
Existe una vulnerabilidad de ejecución remota de código autenticada en la interfaz administrativa de Lucee debido a un diseño inseguro en la funcionalidad de tareas programadas. Un administrador con acceso a /lucee/admin/web.cfm puede configurar una tarea programada para recuperar un archivo .cfm remoto de un servidor controlado por un atacante. Este archivo se escribe en la raíz web de Lucee y se ejecuta con los privilegios de la cuenta de servicio de Lucee. Dado que Lucee no aplica comprobaciones de integridad, restricciones de ruta ni controles de ejecución para la obtención de tareas programadas, esta función puede utilizarse de forma abusiva para ejecutar código arbitrario. Este problema es distinto de CVE-2024-55354.
Impacto
Puntuación base 4.0
9.40
Gravedad 4.0
CRÍTICA
Referencias a soluciones, herramientas e información
- https://github.com/lucee/Lucee
- https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/multi/http/lucee_scheduled_job.rb
- https://vulncheck.com/advisories/lucee-admin-interface-rce
- https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/multi/http/lucee_scheduled_job.rb