Adobe ColdFusion "檔案名稱"任意檔案洩露漏洞
最後更新
2013年05月15日
發佈日期:
2013年05月10日
1435
觀看次數
風險: 高度風險
類型: 伺服器 - 互聯網應用伺服器
在 Adobe ColdFusion 發現漏洞,未經授權的使用者可利用漏洞,遠端獲取存在伺服器上的檔案。
透過"檔案名稱"參數輸入在CFIDE/adminapi的 administrator/mail/download.cfm 未經正確地驗證便被用來存取檔案。使用者可利用漏洞,透過目錄遍歷序列,洩露任意文件的內容。
成功的攻擊需要存取 CFIDE/administrator,CFIDE/adminapi,CFIDE/gettingstarted 目錄沒有限制。
注意:驗證概念的攻擊程式碼已被公開。
影響
- 遠端執行程式碼
- 資料洩露
受影響之系統或技術
- ColdFusion 10, 9.0.2, 9.0.1 及 9.0
解決方案
在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。
- [2013 年 5 月 15 日更新] 安裝 hotfix APSB13-13。
漏洞識別碼
資料來源
相關連結
分享至