docker pull vulfocus/vcpe-1.0-a-adobe-coldfusion:2023.0.0.330468-openjdk-release 启动环境: docker run -d -P vulfocus/vcpe-1.0-a-adobe-coldfusion:2023.0.0.330468-openjdk-release 0x03 漏洞分析 3.1补丁分析 7月 12 日,Adobe 发布了 ColdFusion (2023 release) Update 1 更新。将 patch 包反编译后的...
ColdFusion 通过自身实现的FelixClassloader来调用BundleClassLoader#loadClass()方法,用于启动和禁用后台一个叫做 Package Manager 的服务下载的插件,动态加载 bundles 文件夹下的各种 Jar 包。 我们可以看到这些 Jar 包的 MANIFEST 文件中多了不少字段: Manifest-Version: 1.0 Bnd-LastModified: 1490514990031 Build-Jdk:...
E安全消息,12月23日,Adobe发布紧急安全更新,以解决一个ColdFusion严重漏洞,已存在概念验证(PoC)漏洞利用。 漏洞被标识为CVE-2024-53961,影响Adobe ColdFusion的2023和2021版本。可能允许攻击者读取系统中的任意文件,暴露敏感数据和配置文件。 这个漏洞是由“路径遍历”弱点引起的,源于对受限目录的路径名限制不当。通过利...
Adobe ColdFusion是美国奥多比(Adobe)公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。 Adobe ColdFusion 2023.6, 2021.12 版本及之前版本存在访问控制错误漏洞,该漏洞源于存在不正确的访问控制漏洞,可能导致任意文件系统读取。 0x02影响版本 Adobe ColdFusion 2023.6, 2021.12 版本及之前版本 0x03漏洞复现...
近期,美国网络安全和基础设施安全局(CISA)针对联邦机构发出紧急安全通告,强调必须迅速应对Windows及Adobe ColdFusion中存在的安全漏洞,以有效抵御可能发生的网络攻击。CISA已将这两个高危漏洞纳入其“已知被利用漏洞目录”(KEV),并明确要求所有联邦机构在限定的三周内完成漏洞修复工作,以确保系统的安全性。其中,...
12月23日,Adobe发布紧急安全通知,警告其ColdFusion软件存在一个严重的安全漏洞。这一漏洞被标识为CVE-2024-53961,影响ColdFusion的2023和2021版本,可能使攻击者能够读取系统中的任意文件,从而暴露敏感数据和配置文件。导致这个漏洞产生的原因是“路径遍历”弱点,具体表现为对受限目录的路径名限制不当。攻击者如能利用这一...
漏洞分析 网上的漏洞利用入口为/cf_scripts/scripts/ajax/ckeditor/plugins/filemanager/filemanager.cfc,我们就先来分析*.cfc的路由处理逻辑。从web.xml配置文件里面可以看到,该路由的处理类为coldfusion.bootstrap.BootstrapServlet。而这个类只是一个入口类,实际处理类为coldfusion.xml.rpc.CFCServlet。
近期,Adobe发布了一项紧急安全更新,针对其ColdFusion平台中发现的严重漏洞CVE-2024-53961进行修复。该漏洞影响了ColdFusion的2023和2021版本,攻击者可能利用此漏洞读取系统内的任意文件,从而暴露敏感数据和配置文件。根据Adobe的说明,这一漏洞源于路径遍历问题,具体来说,是对受限目录的路径名限制不当,允许攻击者绕过安全限制...
12月23日,Adobe发布了一项紧急安全更新,针对其ColdFusion平台中发现的严重漏洞进行了修复。这一漏洞被标识为CVE-2024-53961,影响ColdFusion的2023和2021版本,可能允许攻击者读取系统中任意文件,进而暴露敏感数据与配置信息。此安全缺陷源自于“路径遍历”弱点,导致对受限目录的路径名限制不当,从而使得攻击者能够越过安全限制...
Adobe 发布带外安全更新以解决 ColdFusion 的一个关键漏洞,专家警告称有 PoC 漏洞利用代码可用。 Adobe 发布了带外安全更新,以解决 ColdFusion 中的一个关键漏洞(CVE-2024-53961,CVSS 得分 7.4)。专家警告说,该漏洞的概念验证(PoC)利用代码已经存在。