漏洞概述

漏洞名称

Adobe ColdFusion 任意文件读取漏洞

漏洞编号

QVD-2024-9389,CVE-2024-20767

公开时间

2024-03-12

影响量级

十万级

奇安信评级

高危

CVSS 3.1分数

8.2

威胁类型

信息泄露

利用可能性

POC状态

已公开

在野利用状态

未发现

EXP状态

已公开

技术细节状态

已公开

危害描述:由于 Adobe ColdFusion 的访问控制不当,未经身份认证的远程攻击者可以构造恶意请求读取目标服务器上的任意文件,泄露敏感信息。

0漏洞详情

影响组件

Adobe ColdFusion是美国奥多比(Adobe)公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言,将可扩展、改变游戏规则且可靠的产品的愿景变为现实。

漏洞描述

近日,奇安信CERT监测到Adobe ColdFusion发布新版本修复了Adobe ColdFusion 任意文件读取漏洞(CVE-2024-20767)。由于 Adobe ColdFusion 的访问控制不当,未经身份认证的远程攻击者可以构造恶意请求读取目标服务器上的任意文件,泄露敏感信息。

鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。

02 影响范围

影响版本

ColdFusion 2023 <= Update 6

ColdFusion 2021 <= Update 12

其他受影响组件

03 复现情况

目前,奇安信威胁情报中心安全研究员已成功复现Adobe ColdFusion 任意文件读取漏洞(CVE-2024-20767),截图如下:

04 处置建议

安全更新

目前官方已有可更新版本,建议受影响用户升级至:

ColdFusion 2023 >= Update 7

ColdFusion 2021 >= Update 13

参考:

https://helpx.adobe.com/coldfusion/kb/coldfusion-2023-update-7.html?wcmmode=disabled

https://helpx.adobe.com/coldfusion/kb/coldfusion-2021-update-13.html

05 参考资料

[1]https://helpx.adobe.com/security/products/coldfusion/apsb24-14.html

声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。