渗透测试公司发现ColdFusion管理页漏洞

安全
英国伦敦渗透测试公司ProCheckUp在Adobe公司的ColdFusion编程语言中发现了一个漏洞,该漏洞使成千上万个公司面临着攻击的威胁。

英国伦敦渗透测试公司ProCheckUp在Adobe公司的ColdFusion编程语言中发现了一个漏洞,该漏洞使成千上万个公司面临着攻击的威胁。

ProCheckUp公司的研究员通过利用在ColdFusion Administrator(ColdFusion服务器的管理项目)中发现的目录遍历(directory traversal)和文件检索漏洞,能够从正在运行ColdFusion的服务器上访问文件(包括用户名和密码)。不需要知道管理密码,标准的Web浏览器就可被用来执行该攻击。

ProCheckUp管理经理Richard Brain说攻击者能够利用该漏洞来从服务器上窃取文件,获得安全领域的访问权限,甚至能够修改文件内容,或关闭网站或应用程序。

据Adobe官方网站的报道,美国银行、JPMorgan Chase公司、美国联邦储备银行、美国参议院以及赛门铁克和迈克菲公司都采用了ColdFusion。

Brain说他的研究显示大概有一千万到两千万个网站是使用ColdFusion编写的,并配备使用ColdFusion管理页面。Brain说,“根据我们的调查,35%到40%使用ColdFusion的公司都暴露了其管理页面,导致了其他人能够读取文件服务器上的文件。”

ProCheckUp在今年四月向Adobe报告了该漏洞,Adobe公司在8月10日发布了补丁。Procheckup已经发布了关于这个漏洞的安全咨文,并将在7天后发布实际的利用代码,使管理员能够应用该补丁。

但Brain警告说Adobe的补丁适用于ColdFusion 8和9,大多数用户仍然在使用ColdFusion 5、6和7,针对这几个版本的补丁还未发布。

“这是一个很大的漏洞,如果这个漏洞被利用,这将导致一千万到两千万个网站受到损害。”Brain说,“我建议使用ColdFusion 7及以下版本的用户禁止访问ColdFusion管理员目录功能。这就意味着要改变Web服务器控制台设置,以防止用户对CFIDE的访问。 ”

【编辑推荐】

  1. 推出Firefox插件防范Adobe Flash文件漏洞
  2. 八月十六日之后Adobe Reader溢出漏洞将获得紧急补丁
责任编辑:许凤丽 来源: TechTarget中国
相关推荐

2017-02-09 10:30:51

FaradayIPEIDE

2014-11-21 10:32:33

2013-05-09 16:10:14

2016-07-05 09:33:18

2020-07-13 07:18:26

渗透测试漏洞扫描工具

2012-10-23 16:28:51

2014-07-18 14:44:13

2011-05-13 14:20:19

2021-07-04 10:25:14

漏洞网络安全网络攻击

2017-01-01 09:43:40

2016-01-06 15:00:41

安全漏洞

2023-12-06 15:48:05

2010-08-03 22:09:16

2021-07-15 10:46:21

渗透测试网络安全网络攻击

2013-11-06 16:38:59

2016-09-09 01:14:17

2023-10-07 11:40:22

2017-07-24 17:00:49

2021-05-20 10:16:44

Web渗透漏洞

2012-10-29 12:49:49

点赞
收藏

51CTO技术栈公众号