Adobe ColdFusion是美国奥多比(Adobe)公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。 Adobe ColdFusion 2023.6, 2021.12 版本及之前版本存在访问控制错误漏洞,该漏洞源于存在不正确的访问控制漏洞,可能导致任意文件系统读取。 0x02影响版本 Adobe ColdFusion 2023.6, 2021.12 版本及之前版本 0x03漏洞复现...
漏洞描述 由于Adobe ColdFusion的访问控制不当,未经身份认证的远程攻击者可以构造恶意请求读取目标服务器上的任意文件,泄露敏感信息。 Fofa: app="Adobe-ColdFusion" && title=="Error Occurred
一、漏洞情况 Adobe ColdFusion是Adobe公司旗下的一款动态Web服务器。Adobe ColdFusion任意文件读取和任意文件包含高危漏洞与Adobe ColdFusion的AJP connectors相关,Adobe ColdFusion处理AJP协议数据包时存在实现缺陷,导致相关参数可控。攻击者通过向目...
Adobe ColdFusion,是一个应用服务器平台,其运行的 CFML(ColdFusion Markup Language)针对Web应用的一种脚本语言,类似现在的JSP里的JSTL(JSP Standard Tag Lib)。文件以*.cfm为文件名。 0x01 漏洞描述 由于Adobe ColdFusion在存在一个接口泄露了uuid,而使用该uuid可访问后台logging模块API,其中未对文件名进行验证过滤,...
Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品,其运行的CFML(ColdFusion Markup Language)是针对Web应用的一种程序设计语言。 Adobe ColdFusion 8、9版本中存在一处目录穿越漏洞,可导致未授权的用户读取服务器任意文件。 环境搭建 执行如下命令启动Adobe CouldFusion 8.0.1版本服务器: ...
导语:Adobe ColdFusion,是一个动态Web服务器,2020年3月18日,Adobe官方发布针对Adobe Coldfusion的安全更新补丁,编号为APSB20-16。补丁中包含Adobe ColdFusion 任意文件读取和任意文件包含漏洞,CVE编号分别为CVE-2020-3761,CVE-2020-3794。 1.Adobe Coldfusion组件介绍 ...
Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品,其运行的CFML(ColdFusion Markup Language)是针对Web应用的一种程序设计语言。 Adobe ColdFusion 8、9版本中存在一处目录穿越漏洞,可导致未授权的用户读取服务器任意文件。 2|0环境搭建 https://blog.csdn.net/qq_36374896/article/details/84102101 启动漏洞环境...
另一方面,Adobe ColdFusion也存在一个严重的安全漏洞(CVE-2024-20767)。此漏洞源于访问控制不当,使得未经身份验证的远程攻击者能够读取系统文件及其他敏感信息。攻击者甚至可以利用暴露在互联网上的ColdFusion服务器管理面板,绕过安全措施,执行任意的文件系统写入操作。据Fofa搜索引擎统计,目前已有超过145,000个ColdFusion...
网上的漏洞利用入口为/cf_scripts/scripts/ajax/ckeditor/plugins/filemanager/filemanager.cfc,我们就先来分析*.cfc的路由处理逻辑。从web.xml配置文件里面可以看到,该路由的处理类为coldfusion.bootstrap.BootstrapServlet。而这个类只是一个入口类,实际处理类为coldfusion.xml.rpc.CFCServlet。
另一方面,Adobe ColdFusion也存在一个严重的安全漏洞(CVE-2024-20767)。此漏洞源于访问控制不当,使得未经身份验证的远程攻击者能够读取系统文件及其他敏感信息。攻击者甚至可以利用暴露在互联网上的ColdFusion服务器管理面板,绕过安全措施,执行任意的文件系统写入操作。