Adobe ColdFusion sérülékenység

CH azonosító

CH-9173

Angol cím

Adobe ColdFusion "filename" Arbitrary File Disclosure Vulnerability

Felfedezés dátuma

2013.05.12.

Súlyosság

Közepes

Érintett rendszerek

Adobe
ColdFusion

Érintett verziók

Adobe ColdFusion 9.x, 10.x

Összefoglaló

Az Adobe ColdFusion egy sérülékenységét jelentették, amit kihasználva a támadók bizalmas információkat szerezhetnek.

Leírás

A “filename” paraméteren keresztül a CFIDE/adminapi szekción belül lévő administrator/mail/download.cfm részére átadott bemeneti adat nem megfelelően van megtisztítva mielőtt fájlokhoz történő hozzáférésben felhasználásra kerülne. Ezt kihasználva tetszőleges fájl tartamát meg lehet szerezni a szerveren könyvtár bejárásos támadások segítségével.

A sérülékenység sikeres kihasználásához szükséges, hogy a CFIDE/administrator, CFIDE/adminapi és CFIDE/gettingstarted könyvtárakhoz való hozzáférés ne legyen korlátozva.

A sérülékenységet a Windows, Macintosh és UNIX rendszereken futó 9.0.2, 9.0.1 és 9.0 verziókban jelentették.

Megoldás

A gyártó 2013 május 14-én ad ki javítást a sérülékenységre, addig is javasolt a CFIDE/administrator, CFIDE/adminapi és CFIDE/gettingstarted könyvtárakhoz történő hozzáférés korlátozása.


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-49719 – Microsoft SQL Server Information Disclosure sérülékenysége
CVE-2014-3931 – Multi-Router Looking Glass (MRLG) Buffer Overflow sérülékenysége
CVE-2016-10033 – PHPMailer Command Injection sérülékenysége
CVE-2019-5418 – Rails Ruby on Rails Path Traversal sérülékenysége
CVE-2019-9621 – Synacor Zimbra Collaboration Suite (ZCS) Server-Side Request Forgery (SSRF) sérülékenysége
CVE-2016-4484 – Linux sérülékenység
CVE-2025-32463 – Linux sérülékenység
CVE-2025-32462 – Linux sérülékenység
CVE-2025-6463 – Wordpress sérülékenység
Tovább a sérülékenységekhez »