安全通告                               

                                    关于Adobe ColdFusion存在路径遍历漏洞的预警通报

                                                                                                         发布日期：2024-12–30

                                                                                                         [2024]025号

漏洞描述

2024年12月30日监测发现Adobe ColdFusion存在路径遍历漏洞（CVE-2024-53961），该漏洞是由于对受限目录的路径名限制不当，当攻击者构造包含特定路径的请求，并通过在请求中插入特殊字符或经过巧妙设计的路径表达式，来尝试利用漏洞绕过 ColdFusion 应用程序设置的安全限制，使服务器将请求的路径解析为受限目录之外的文件或目录，从而能够访问到原本不应该被访问的文件。

Adobe ColdFusion 是一款动态网页应用程序开发平台，它允许开发人员使用 ColdFusion Markup Language（CFML）来快速创建交互式的网站和网络应用程序。CFML 是一种类似于 HTML 的标记语言，结合了脚本语言的功能，能够方便地与数据库、服务器等进行交互。

漏洞编号

CVE-2024-53961

漏洞危害

未经身份验证的远程攻击者可以利用此漏洞访问应用程序设置的受限目录之外的文件或目录，从而导致敏感信息泄露或系统数据被操纵。

漏洞等级

高危
受影响版本

Adobe ColdFusion 2023 <= Update 11

Adobe ColdFusion 2021 <= Update 17

修复方案

目前该漏洞已经修复，受影响用户可升级到以下版本：

Adobe ColdFusion 2023 >= Update 12

Adobe ColdFusion 2021 >= Update 18

https://www.adobe.com/products/coldfusion-family.html

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2024-53961

https://helpx.adobe.com/security/products/coldfusion/apsb24-107.html