Adobe ColdFusion是美国奥多比(Adobe)公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。 Adobe ColdFusion 2023.6, 2021.12 版本及之前版本存在访问控制错误漏洞,该漏洞源于存在不正确的访问控制漏洞,可能导致任意文件系统读取。 0x02影响版本 Adobe ColdFusion 2023.6, 2021.12 版本及之前版本 0x03漏洞复现...
漏洞描述 由于Adobe ColdFusion的访问控制不当,未经身份认证的远程攻击者可以构造恶意请求读取目标服务器上的任意文件,泄露敏感信息。 Fofa: app="Adobe-ColdFusion" && title=="Error Occurred While Processing Request" POC 通过特定的ColdFusion管理端点获取UUID GET /CFIDE/adminapi/_servermanager/servermanager.cfc...
E安全消息,12月23日,Adobe发布紧急安全更新,以解决一个ColdFusion严重漏洞,已存在概念验证(PoC)漏洞利用。 漏洞被标识为CVE-2024-53961,影响Adobe ColdFusion的2023和2021版本。可能允许攻击者读取系统中的任意文件,暴露敏感数据和配置文件。 这个漏洞是由“路径遍历”弱点引起的,源于对受限目录的路径名限制不当。通过利...
现将相关漏洞详情通报如下:一、漏洞情况 Adobe ColdFusion是Adobe公司旗下的一款动态Web服务器。Adobe ColdFusion任意文件读取和任意文件包含高危漏洞与Adobe ColdFusion的AJP connectors相关,Adobe ColdFusion处理AJP协议数据包时存在实现缺陷,导致相关...
0x01 漏洞描述 由于Adobe ColdFusion在存在一个接口泄露了uuid,而使用该uuid可访问后台logging模块API,其中未对文件名进行验证过滤,导致可以读取任意文件。 0x02 CVE编号 CVE-2024-20767 0x03 影响版本 Adobe ColdFusion 2023 <= Update 6 Adobe ColdFusion 2021 <= Update 12 ...
Adobe ColdFusion是由J. J. Allaire于1995年创建的商业快速Web应用程序开发计算平台。 Adobe ColdFusion 9.0.1 及更早版本中存在一个目录遍历漏洞,允许远程攻击者通过区域设置参数读取任意文件,以 (1) CFIDE/administrator/settings/mappings.cfm (2) 日志记录/设置.cfm ...
Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品,其运行的CFML(ColdFusion Markup Language)是针对Web应用的一种程序设计语言。 Adobe ColdFusion 8、9版本中存在一处目录穿越漏洞,可导致未授权的用户读取服务器任意文件。 环境搭建 执行如下命令启动Adobe CouldFusion 8.0.1版本服务器: ...
漏洞分析 网上的漏洞利用入口为/cf_scripts/scripts/ajax/ckeditor/plugins/filemanager/filemanager.cfc,我们就先来分析*.cfc的路由处理逻辑。从web.xml配置文件里面可以看到,该路由的处理类为coldfusion.bootstrap.BootstrapServlet。而这个类只是一个入口类,实际处理类为coldfusion.xml.rpc.CFCServlet。
Adobe最新漏洞被披露,已有PoC代码流出 Adobe近期发布了紧急安全更新,针对ColdFusion中的一个关键漏洞,该漏洞已有概念验证(PoC)代码流出。根据周一的公告,这个编号为CVE-2024-53961的漏洞源于路径遍历弱点,影响了Adobe ColdFusion 2023和2021版本,攻击者可借此读取易受攻击服务器上的任意文件。
近期,Adobe发布了一项紧急安全更新,针对其ColdFusion平台中发现的严重漏洞CVE-2024-53961进行修复。该漏洞影响了ColdFusion的2023和2021版本,攻击者可能利用此漏洞读取系统内的任意文件,从而暴露敏感数据和配置文件。根据Adobe的说明,这一漏洞源于路径遍历问题,具体来说,是对受限目录的路径名限制不当,允许攻击者绕过安全限制...