본문 바로가기
보안2026년 7월 7일2분 읽기

어도비 콜드퓨전 CVSS 10.0 취약점, 공개 수시간 만에 실제 공격

YS
김영삼
조회 911
어도비 콜드퓨전 CVSS 10.0 취약점, 공개 수시간 만에 실제 공격

핵심 요약

어도비 콜드퓨전(ColdFusion)에서 CVSS 10.0 만점 취약점 CVE-2026-48282가 발견됐다. RDS FILEIO 핸들러의 경로 탐색(path traversal) 결함으로 인증 없이 원격 코드 실행(RCE)이 가능하다. 어도비가 6월 30일 패치를 냈지만 공개 수시간 내 실제 공격이 관측됐고, CISA가 7월 7일 KEV 카탈로그에 등재했다.

1. 취약점 상세

항목내용
CVECVE-2026-48282
CVSS10.0 (최고)
유형경로 탐색 → 무인증 RCE
영향ColdFusion 2023, 2025
수정판2023 Update 21, 2025 Update 10

2. 악용 정황

  • 패치 공개 수시간 내 인도 IP발 익스플로잇 시도 확인
  • 인증되지 않은 공격자가 웹루트 등 임의 위치에 파일 기록 가능
  • CISA KEV 등재, 연방기관 패치 기한 7월 10일(BOD 26-04)

3. 대응

콜드퓨전 2023·2025 사용자는 즉시 최신 업데이트를 적용해야 한다. 인터넷에 노출된 관리 인터페이스·RDS 서비스는 접근을 제한하고, 로그에서 비정상 파일 기록·요청을 점검해야 한다.

자주 묻는 질문

CVSS 10.0이면 얼마나 위험한가요?

최고 심각도로, 인증 없이 원격에서 시스템을 장악할 수 있다는 의미입니다. 이번 건은 실제 악용까지 확인됐으므로 "나중에"가 아니라 즉시 패치해야 하는 최우선 대상입니다.

패치 외에 임시 완화책이 있나요?

패치가 최선입니다. 불가피하게 지연된다면 RDS/관리 인터페이스의 외부 노출 차단, WAF 규칙 적용, 접근 IP 제한으로 위험을 낮추되, 이는 임시방편일 뿐 근본 해결은 업데이트입니다.

댓글 0

아직 댓글이 없습니다.
Ctrl+Enter로 등록