一、漏洞详情
Adobe ColdFusion是美国奥多比(Adobe)公司的一套快速应用程序开发平台。
近日,监测到Adobe ColdFusion发布新版本修复了Adobe ColdFusion 任意文件读取漏洞(CVE-2024-20767)。由于Adobe ColdFusion的访问控制不当,未经身份认证的远程攻击者可以构造恶意请求读取目标服务器上的任意文件,泄露敏感信息。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
ColdFusion 2023 <= Update 6
ColdFusion 2021 <= Update 12
三、修复建议
目前官方已有可更新版本,建议受影响用户升级至:
ColdFusion 2023 >= Update 7
ColdFusion 2021 >= Update 13
