漏洞起因
输入验证错误
影响系统
Adobe ColdFusion 8.x
不受影响系统
危害
远程攻击者可以利用漏洞获得敏感信息或上传任意文件。
攻击所需条件
攻击者必须访问Adobe ColdFusion。
漏洞信息
Adobe ColdFusion是一款高效的网络应用服务器开发环境。
Adobe ColdFusion使用的FCKeditor存在安全问题,远程攻击者可以利用漏洞获得敏感信息或上传任意文件。
Adobe ColdFusion包含的FCKeditor存在"CurrentFolder"信息泄漏和任意文件上传问题,对提交给多个连接器模块的"CurrentFolder"参数缺少充分过滤,可熬制泄漏任意目录内容或上传文件到任意位置。
测试方法
厂商解决方案
用户可联系供应商升级到Adobe ColdFusion 8.0.1版本并采用补丁:
Hot fix:
http://www.adobe.com/support/security/bulletins/downloads/hf801-77218.jar
漏洞提供者
Vinny Guido
0 条评论。