Adobe ColdFusion CFC方式访问绕过安全限制漏洞

2008-04-11T00:00:00
ID SSV:3148
Type seebug
Reporter Root
Modified 2008-04-11T00:00:00

Description

BUGTRAQ ID: 28698 CVE(CAN) ID: CVE-2008-1656

ColdFusion MX是一款高效的网络应用服务器开发环境,具有很高的易用性和开发效率,基于标准的Java技术,可以与XML、Web Services和Microsoft.NET环境相集成。

ColdFusion MX的组件访问控制实现上存在漏洞,远程非授权用户可能利用此漏洞获取非授权访问。

即使将访问级别设置为public的话,仍可从Flex 2 remoting调用ColdFusion 8中的CFC方式,而根据设计仅有本地执行页面或组件方式才可以使用访问级别设置为public的函数。远程攻击者可以利用这个漏洞访问本应受限的函数。

Adobe ColdFusion 8 Adobe


目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

<a href=http://kb.adobe.com/selfservice/viewContent.do?externalId=kb403328&sliceId=1 target=_blank>http://kb.adobe.com/selfservice/viewContent.do?externalId=kb403328&sliceId=1</a>