漏洞名称:Adobe ColdFusion 任意文件读取漏洞(CVE-2024-20767)
【检测结果】
1、通过MSSP大数据平台分析近一个月服务资产访问行为数据,尚未发现受此组件版本影响的服务资产。
2、为确保无遗漏,建议业务运维进行二次核实,检查业务资产是否有使用相关组件的情况,如有可参考详细修复建议操作避免漏洞被恶意利用。
【漏洞详情】
漏洞描述:该漏洞是由于Adobe ColdFusion的访问控制存在设计缺陷,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行目录遍历攻击,最终造成服务器敏感性信息泄露。
影响范围:
Adobe ColdFusion 2023 ≤ Update 6
Adobe ColdFusion 2021 ≤ Update 12
官方解决方案:
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。
链接如下:https://helpx.adobe.com/coldfusion/kb/coldfusion-2023-update-7.html
https://helpx.adobe.com/coldfusion/kb/coldfusion-2021-update-13.html