漏洞名称:
Adobe ColdFusion 任意文件读取漏洞
漏洞描述:
2024 年 3 月 28 日,深瞳漏洞实验室监测到一则 Adobe ColdFusion
组件存在任意文件读取漏洞的信息,经核实验证发现该漏洞是由于 Adobe
ColdFusion 的访问控制存在设计缺陷,
攻击者可利用该漏洞在未授权的情况
下,构造恶意数据执行目录遍历攻击,最终造成服务器敏感性信息泄露。
漏洞编号:
CVE-2024-20767,漏洞威胁等级:
高危
。
漏洞类型:
远程代码执行。
4
组件介绍:
Adobe ColdFusion 是一种商业级的快速应用开发平台,它主要用于构建
和部署基于网络的应用程序。ColdFusion 服务器提供了许多内置功能,如用户
认证、数据库交互、PDF 文档生成、图像处理、Ajax 功能、文件管理等。
影响范围:
目前受影响的 Adobe ColdFusion 版本:
Adobe ColdFusion 2023 ≤ Update 6
Adobe ColdFusion 2021 ≤ Update 12
利用条件:
1、用户认证:否
2、前置条件:默认配置
3、触发方式:远程
<综合评定利用难度>:容易,无需授权即可读取文件。
<综合评定威胁等级>:高危,能造成敏感信息泄露。
官方解决方案
:
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。
1、检测组件系统版本
登陆 Adobe ColdFusion 管理员后台,点击 “System Information” 按
钮即可查看版本号。
5
2、下载链接
https://helpx.adobe.com/coldfusion/kb/coldfusion-2023-update-7.h
tml
https://helpx.adobe.com/coldfusion/kb/coldfusion-2021-update-13.
html