Adobe ColdFusion FCKeditor "CurrentFolder"信息泄漏和文件上传漏洞

2009-07-12T00:00:00
ID SSV:11793
Type seebug
Reporter Root
Modified 2009-07-12T00:00:00

Description

Adobe ColdFusion是一款高效的网络应用服务器开发环境。 Adobe ColdFusion使用的FCKeditor存在安全问题,远程攻击者可以利用漏洞获得敏感信息或上传任意文件。 Adobe ColdFusion包含的FCKeditor存在"CurrentFolder"信息泄漏和任意文件上传问题,对提交给多个连接器模块的"CurrentFolder"参数缺少充分过滤,可熬制泄漏任意目录内容或上传文件到任意位置。

Adobe ColdFusion 8.x 厂商解决方案 用户可联系供应商升级到Adobe ColdFusion 8.0.1版本并采用补丁: Hot fix: http://www.adobe.com/support/security/bulletins/downloads/hf801-77218.jar