Adobe ColdFusion sérülékenység

CH azonosító

CH-9173

Angol cím

Adobe ColdFusion "filename" Arbitrary File Disclosure Vulnerability

Felfedezés dátuma

2013.05.12.

Súlyosság

Közepes

Érintett rendszerek

Adobe
ColdFusion

Érintett verziók

Adobe ColdFusion 9.x, 10.x

Összefoglaló

Az Adobe ColdFusion egy sérülékenységét jelentették, amit kihasználva a támadók bizalmas információkat szerezhetnek.

Leírás

A “filename” paraméteren keresztül a CFIDE/adminapi szekción belül lévő administrator/mail/download.cfm részére átadott bemeneti adat nem megfelelően van megtisztítva mielőtt fájlokhoz történő hozzáférésben felhasználásra kerülne. Ezt kihasználva tetszőleges fájl tartamát meg lehet szerezni a szerveren könyvtár bejárásos támadások segítségével.

A sérülékenység sikeres kihasználásához szükséges, hogy a CFIDE/administrator, CFIDE/adminapi és CFIDE/gettingstarted könyvtárakhoz való hozzáférés ne legyen korlátozva.

A sérülékenységet a Windows, Macintosh és UNIX rendszereken futó 9.0.2, 9.0.1 és 9.0 verziókban jelentették.

Megoldás

A gyártó 2013 május 14-én ad ki javítást a sérülékenységre, addig is javasolt a CFIDE/administrator, CFIDE/adminapi és CFIDE/gettingstarted könyvtárakhoz történő hozzáférés korlátozása.


Legfrissebb sérülékenységek
CVE-2023-22524 – Atlassian Companion App for MacOS sérülékenysége
CVE-2023-22523 – Jira RCE sérülékenysége
CVE-2023-22522 – Confluence Data Center and Server sérülékenysége
CVE-2023-6448 – Unitronics Vision Series PLC sérülékenysége
CVE-2023-33106 – Qualcomm Multiple Chipsets sérülékenység
CVE-2023-33107 – Qualcomm Multiple Chipsets sérülékenysége
CVE-2023-33063 – Qualcomm Multiple Chipsets sérülékenység
CVE-2023-40088 – Android sérülékenysége
CVE-2023-40076 – Android sérülékenysége
CVE-2023-40077 – Android sérülékenysége
Tovább a sérülékenységekhez »