 |
ColdFusion MX7信息泄露及跨站脚本漏洞 |
|
|
| ColdFusion MX7信息泄露及跨站脚本漏洞 |
|
| 作者:佚名 文章来源:不详 点击数: 更新时间:2007-1-25 17:49:55 |
|
受影响系统:
Adobe ColdFusion MX 7.00
描述:
ColdFusion MX是一款高效的网络应用服务器开发环境,具有很高的易用性和开发效率,基于标准的Java技术,可以与XML、Web Services和Microsoft.NET环境相集成。
ColdFusion在处理用户请求时存在多个安全漏洞,远程攻击者可能利用这些漏洞获取服务器相关的敏感信息。
如果远程攻击者能够向ColdFusion提交以以下格式结束的无效请求的话,就会导致在返回结果中泄漏服务器路径:
/.jws
/.cfm
/.cfml
/.cfc
如果未经提供主机便请求了/CFIDE/administrator/login.cfm页面的话,就会导致在href标签中泄漏服务器的内部IP地址。
此外,如果能够提交恶意的URL请求的话,还可以执行跨站脚本攻击。
<*来源:Brett Moore (brett.moore@SECURITY-ASSESSMENT.COM)
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=116585681932405&w=2
*>
建议:
厂商补丁:
Adobe
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.adobe.com【转自世纪安全网 http://www.21safe.com】
|
|
| 文章录入:admin 责任编辑:admin |
|
|
上一篇文章: 微软反跨站攻击脚本库 v1.5
下一篇文章: Google搜索工具 UTF-7跨站脚本执行漏洞 |
|
|
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
|
|
 网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!) |
|
|
|
|
|
