Adobe ColdFusion 任意文件读取漏洞(CVE-2024-20767)
日期:2024-03-28 14:27:33 发布人:信息化建设中心 浏览量:13
漏洞概要
漏洞名称 | AdobeColdFusion任意文件读取漏洞(CVE-2024-20767) |
发布时间 | 2024年3月28日 |
组件名称 | AdobeColdFusion |
影响范围 | AdobeColdFusion2023≤Update6 AdobeColdFusion2021≤Update12 |
漏洞类型 | 远程代码执行 |
利用条件 | 1、用户认证:否 2、前置条件:默认配置 3、触发方式:远程 |
综合评价 | <综合评定利用难度>:容易,无需授权即可读取文件。 <综合评定威胁等级>:高危,能造成敏感信息泄露。 |
官方解决方案 | 已发布 |
漏洞分析
组件介绍
AdobeColdFusion是一种商业级的快速应用开发平台,它主要用于构建和部署基于网络的应用程序。ColdFusion服务器提供了许多内置功能,如用户认证、数据库交互、PDF文档生成、图像处理、Ajax功能、文件管理等。
漏洞描述
2024年3月28日,深瞳漏洞实验室监测到一则AdobeColdFusion组件存在任意文件读取漏洞的信息,漏洞编号:CVE-2024-20767,漏洞威胁等级:高危。
该漏洞是由于AdobeColdFusion的访问控制存在设计缺陷,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行目录遍历攻击,最终造成服务器敏感性信息泄露。
影响范围
目前受影响的AdobeColdFusion版本:
AdobeColdFusion2023≤Update6
AdobeColdFusion2021≤Update12
解决方案
修复建议
1.如何检测组件系统版本
登陆AdobeColdFusion管理员后台,点击“SystemInformation”按钮即可查看版本号
2.官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。