Adobe ColdFusion是美国奥多比(Adobe)公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。 Adobe ColdFusion 2023.6, 2021.12 版本及之前版本存在访问控制错误漏洞,该漏洞源于存在不正确的访问控制漏洞,可能导致任意文件系统读取。 0x02影响版本 Adobe ColdFusion 2023.6, 2021.12 版本及之前版本 0x03漏洞复现...
漏洞描述 由于Adobe ColdFusion的访问控制不当,未经身份认证的远程攻击者可以构造恶意请求读取目标服务器上的任意文件,泄露敏感信息。 Fofa: app="Adobe-ColdFusion" && title=="Error Occurred While Processing Request" POC 通过特定的ColdFusion管理端点获取UUID GET /CFIDE/adminapi/_servermanager/servermanager.cfc...
现将相关漏洞详情通报如下:一、漏洞情况 Adobe ColdFusion是Adobe公司旗下的一款动态Web服务器。Adobe ColdFusion任意文件读取和任意文件包含高危漏洞与Adobe ColdFusion的AJP connectors相关,Adobe ColdFusion处理AJP协议数据包时存在实现缺陷,导致相关...
CVE-2024-20767 漏洞(CVSS 得分为 7.4)是 ColdFusion 2023.6、2021.12 及更早版本中的不当访问控制问题。攻击者可利用漏洞获取任意文件读取。利用漏洞需要暴露管理面板。
E安全消息,12月23日,Adobe发布紧急安全更新,以解决一个ColdFusion严重漏洞,已存在概念验证(PoC)漏洞利用。 漏洞被标识为CVE-2024-53961,影响Adobe ColdFusion的2023和2021版本。可能允许攻击者读取系统中的任意文件,暴露敏感数据和配置文件。 这个漏洞是由“路径遍历”弱点引起的,源于对受限目录的路径名限制不当。通过利...
Adobe ColdFusion是由J. J. Allaire于1995年创建的商业快速Web应用程序开发计算平台。 Adobe ColdFusion 9.0.1 及更早版本中存在一个目录遍历漏洞,允许远程攻击者通过区域设置参数读取任意文件,以 (1) CFIDE/administrator/settings/mappings.cfm (2) 日志记录/设置.cfm ...
0x01 漏洞描述 由于Adobe ColdFusion在存在一个接口泄露了uuid,而使用该uuid可访问后台logging模块API,其中未对文件名进行验证过滤,导致可以读取任意文件。 0x02 CVE编号 CVE-2024-20767 0x03 影响版本 Adobe ColdFusion 2023 <= Update 6 Adobe ColdFusion 2021 <= Update 12 ...
12月23日,Adobe发布了一项紧急安全更新,针对其ColdFusion平台中发现的严重漏洞进行了修复。这一漏洞被标识为CVE-2024-53961,影响ColdFusion的2023和2021版本,可能允许攻击者读取系统中任意文件,进而暴露敏感数据与配置信息。此安全缺陷源自于“路径遍历”弱点,导致对受限目录的路径名限制不当,从而使得攻击者能够越过安全限制...
Adobe 发布了安全更新,以利用概念验证 (PoC) 漏洞利用代码来解决关键的 ColdFusion 漏洞。该漏洞(编号为 CVE-2024-53961)是由影响 Adobe ColdFusion 2023 和 2021 版本的路径遍历漏洞引起的,攻击者可以读取易受攻击的服务器上的任意文件。 Adobe 表示:“Adobe 意识到 CVE-2024-53961 具有已知的概念验证,可能会导致...
12月23日,Adobe发出了紧急安全更新通知,针对ColdFusion软件中的一个严重安全漏洞进行修复。该漏洞的编号为CVE-2024-53961,影响到Adobe ColdFusion的2021和2023版本。 惊人的是,这个漏洞允许攻击者读取系统中的任意文件,从而暴露敏感数据和配置文件。此问题源于一个称为“路径遍历”的弱点,具体是因对受限目录路径名的限制...