Adobe ColdFusion是美国奥多比(Adobe)公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。 Adobe ColdFusion 2023.6, 2021.12 版本及之前版本存在访问控制错误漏洞,该漏洞源于存在不正确的访问控制漏洞,可能导致任意文件系统读取。 0x02影响版本 Adobe ColdFusion 2023.6, 2021.12 版本及之前版本 0x03漏洞复...
漏洞描述 由于Adobe ColdFusion的访问控制不当,未经身份认证的远程攻击者可以构造恶意请求读取目标服务器上的任意文件,泄露敏感信息。 Fofa: app="Adobe-ColdFusion" && title=="Error Occurred While Processing Request" POC 通过特定的ColdFusion管理端点获取UUID GET /CFIDE/adminapi/_servermanager/servermanager.cfc...
现将相关漏洞详情通报如下:一、漏洞情况 Adobe ColdFusion是Adobe公司旗下的一款动态Web服务器。Adobe ColdFusion任意文件读取和任意文件包含高危漏洞与Adobe ColdFusion的AJP connectors相关,Adobe ColdFusion处理AJP协议数据包时存在实现缺陷,导致相关...
发送到重发器,删除cookie值后可以读取文件/etc/passwd 成功读取文件/etc/passwd。 (4)读取文件/etc/shadow 修改请求包,然后读取文件/etc/shadow。 访问路径如下: /CFIDE/administrator/enter.cfm?locale=../../../../../../../../../../etc/shadow%00en (5) 读取后台管理员密码 访问路径如下: /CF...
导语:Adobe ColdFusion,是一个动态Web服务器,2020年3月18日,Adobe官方发布针对Adobe Coldfusion的安全更新补丁,编号为APSB20-16。补丁中包含Adobe ColdFusion 任意文件读取和任意文件包含漏洞,CVE编号分别为CVE-2020-3761,CVE-2020-3794。 1.Adobe Coldfusion组件介绍 ...
Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品,其运行的CFML(ColdFusion Markup Language)是针对Web应用的一种程序设计语言。 Adobe ColdFusion 8、9版本中存在一处目录穿越漏洞,可导致未授权的用户读取服务器任意文件。 环境搭建 执行如下命令启动Adobe CouldFusion 8.0.1版本服务器: ...
0x01 漏洞描述 由于Adobe ColdFusion在存在一个接口泄露了uuid,而使用该uuid可访问后台logging模块API,其中未对文件名进行验证过滤,导致可以读取任意文件。 0x02 CVE编号 CVE-2024-20767 0x03 影响版本 Adobe ColdFusion 2023 <= Update 6 Adobe ColdFusion 2021 <= Update 12 ...
雷锋网3月3日消息,Adobe ColdFusion Web应用程序被发现0Day漏洞,该漏洞允许任意代码执行操作,目前已在野外被利用。 据悉,此次安全问题允许攻击者绕过上传文件的限制。为了利用它,对手必须能够将可执行代码上传到web服务器上的文件目录中。Adobe在其安全公告中说,代码可以通过HTTP请求执行,当前更新的ColdFusion版本都会受到...
CVE-2023-26360 漏洞属于不当访问控制,可允许远程攻击者执行任意代码,该漏洞还可能导致任意文件系统读取和内存泄漏。
01漏洞详情 影响组件 Adobe ColdFusion是美国奥多比(Adobe)公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言,将可扩展、改变游戏规则且可靠的产品的愿景变为现实。 漏洞描述 近日,奇安信CERT监测到Adobe ColdFusion发布新版本修复了Adobe ColdFusion 任意文件读取漏洞(CVE-2024-20767)。由于 Adobe ColdFusio...