0x00 前言
Adobe ColdFusion,是一个应用服务器平台,其运行的 CFML(ColdFusion Markup Language)针对Web应用的一种脚本语言,类似现在的JSP里的JSTL(JSP Standard Tag Lib)。文件以*.cfm为文件名。
0x01 漏洞描述
由于Adobe ColdFusion在存在一个接口泄露了uuid,而使用该uuid可访问后台logging模块API,其中未对文件名进行验证过滤,导致可以读取任意文件。
0x02 CVE编号
CVE-2024-20767
0x03 影响版本
Adobe ColdFusion 2023 <= Update 6
Adobe ColdFusion 2021 <= Update 12
0x04 漏洞详情
https://github.com/yoryio/CVE-2024-20767
0x05 参考链接
https://helpx.adobe.com/security/products/coldfusion/apsb24-14.html