CVE-2025-34074

Nome do Software Vulnerável e Versões Afetadas: Versões do Lucee 5.x até 6.x

Descrição: Existe uma vulnerabilidade de execução remota de código autenticada na interface administrativa do Lucee devido a um projeto inseguro na funcionalidade de tarefas agendadas. Um administrador com acesso a /lucee/admin/web.cfm pode configurar uma tarefa agendada para recuperar um arquivo .cfm remoto de um servidor controlado por um atacante, o qual é gravado no webroot do Lucee e executado com os privilégios da conta de serviço do Lucee. Como o Lucee não impõe verificações de integridade, restrições de caminho ou controles de execução para as recuperações de tarefas agendadas, este recurso pode ser explorado para realizar execução arbitrária de código.

Recomendações: Para as versões do Lucee 5.x até 6.x, restrinja o acesso à funcionalidade de tarefas agendadas e monitore as configurações para minimizar o risco de exploração. Como uma medida temporária de contorno, considere desativar o recurso de tarefas agendadas até que um patch esteja disponível. Evite usar a funcionalidade de tarefas agendadas para recuperar arquivos remotos até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.