CH azonosító
CH-9173Angol cím
Adobe ColdFusion "filename" Arbitrary File Disclosure VulnerabilityFelfedezés dátuma
2013.05.12.Súlyosság
KözepesÖsszefoglaló
Az Adobe ColdFusion egy sérülékenységét jelentették, amit kihasználva a támadók bizalmas információkat szerezhetnek.
Leírás
A “filename” paraméteren keresztül a CFIDE/adminapi szekción belül lévő administrator/mail/download.cfm részére átadott bemeneti adat nem megfelelően van megtisztítva mielőtt fájlokhoz történő hozzáférésben felhasználásra kerülne. Ezt kihasználva tetszőleges fájl tartamát meg lehet szerezni a szerveren könyvtár bejárásos támadások segítségével.
A sérülékenység sikeres kihasználásához szükséges, hogy a CFIDE/administrator, CFIDE/adminapi és CFIDE/gettingstarted könyvtárakhoz való hozzáférés ne legyen korlátozva.
A sérülékenységet a Windows, Macintosh és UNIX rendszereken futó 9.0.2, 9.0.1 és 9.0 verziókban jelentették.
Megoldás
A gyártó 2013 május 14-én ad ki javítást a sérülékenységre, addig is javasolt a CFIDE/administrator, CFIDE/adminapi és CFIDE/gettingstarted könyvtárakhoz történő hozzáférés korlátozása.
Támadás típusa
Input manipulation (Bemenet módosítás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.adobe.com
Egyéb referencia: packetstormsecurity.com
CVE-2013-3336 - NVD CVE-2013-3336
SECUNIA 53337