Adobe ColdFusion sérülékenység

CH azonosító

CH-9173

Angol cím

Adobe ColdFusion "filename" Arbitrary File Disclosure Vulnerability

Felfedezés dátuma

2013.05.12.

Súlyosság

Közepes

Érintett rendszerek

Adobe
ColdFusion

Érintett verziók

Adobe ColdFusion 9.x, 10.x

Összefoglaló

Az Adobe ColdFusion egy sérülékenységét jelentették, amit kihasználva a támadók bizalmas információkat szerezhetnek.

Leírás

A “filename” paraméteren keresztül a CFIDE/adminapi szekción belül lévő administrator/mail/download.cfm részére átadott bemeneti adat nem megfelelően van megtisztítva mielőtt fájlokhoz történő hozzáférésben felhasználásra kerülne. Ezt kihasználva tetszőleges fájl tartamát meg lehet szerezni a szerveren könyvtár bejárásos támadások segítségével.

A sérülékenység sikeres kihasználásához szükséges, hogy a CFIDE/administrator, CFIDE/adminapi és CFIDE/gettingstarted könyvtárakhoz való hozzáférés ne legyen korlátozva.

A sérülékenységet a Windows, Macintosh és UNIX rendszereken futó 9.0.2, 9.0.1 és 9.0 verziókban jelentették.

Megoldás

A gyártó 2013 május 14-én ad ki javítást a sérülékenységre, addig is javasolt a CFIDE/administrator, CFIDE/adminapi és CFIDE/gettingstarted könyvtárakhoz történő hozzáférés korlátozása.


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-24993 – Microsoft Windows NTFS Heap-Based Buffer Overflow sebezhetősége
CVE-2025-24991 – Microsoft Windows NTFS Out-Of-Bounds Read sebezhetősége
CVE-2025-24985 – Microsoft Windows Fast FAT File System Driver Integer Overflow sebezhetősége
CVE-2025-24984 – Microsoft Windows NTFS Information Disclosure sebezhetősége
CVE-2025-24983 – Microsoft Windows Win32k Use-After-Free sebezhetősége
CVE-2025-26633 – Microsoft Windows Management Console (MMC) Improper Neutralization sebezhetősége
CVE-2025-27363 – FreeType srülékenysége
CVE-2025-24201 – Apple WebKit sérülékenysége
CVE-2024-13161 – Ivanti Endpoint Manager (EPM) Absolute Path Traversal sebezhetősége
Tovább a sérülékenységekhez »