Goby 漏洞发布|Adobe ColdFusion /CFIDE/adminapi/_servermanager/servermanager.cfc 文件读取漏洞 (CVE-2024-20767)

最新推荐文章于 2024-08-22 10:31:14 发布
最新推荐文章于 2024-08-22 10:31:14 发布
阅读量389 收藏 1
点赞数 1
分类专栏: Goby 漏洞 红队版 文章标签: adobe Goby 漏洞验证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46699477/article/details/137119924
版权
Goby 同时被 3 个专栏收录
192 篇文章 31 订阅
订阅专栏
漏洞
140 篇文章 3 订阅
订阅专栏
红队版
121 篇文章 4 订阅
订阅专栏

漏洞名称:Adobe ColdFusion /CFIDE/adminapi/_servermanager/servermanager.cfc 文件读取漏洞 (CVE-2024-20767)

English Name: Adobe ColdFusion /CFIDE/adminapi/_servermanager/servermanager.cfc File Read Vulnerability (CVE-2024-20767)

CVSS core: 8.2

影响资产数:141734

漏洞描述:

Adobe ColdFusion 是 Adobe 公司开发的用于 Web 应用程序开发的商业应用程序服务器。攻击者可通过该漏洞读取系统重要⽂件(如数据库配置⽂件、系统配置⽂件)、数据库配置⽂件等等,导致⽹站处于极度不安全状态。

FOFA查询语句(点击直接查看结果):

app=“Adobe-ColdFusion”

此漏洞已可在Goby漏扫/红队版进行扫描验证

在这里插入图片描述

下载Goby:Goby社区版下载

查看Goby更多漏洞:Goby历史漏洞合集

关注Goby公众号获取最新动态:Gobysec

Gobysec
关注
专栏目录
Adobe ColdFusion 任意文件读取漏洞复现(CVE-2024-20767)
0xSec
03-31 953
由于 Adobe ColdFusion 的访问控制不当,未经身份认证的远程攻击者可以构造恶意请求读取目标服务器上的任意文件,泄露敏感信息。
漏洞复现】Adobe ColdFusion 任意文件读取漏洞 CVE-2024-20767
失心少年
04-23 782
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!该平台ColdFusion 2023
联发科漏洞影响智能手机、平板、WiFi 等芯片集
smellycat000的专栏
07-05 1783
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士联发科在2023年7月产品安全公告中披露了24个漏洞,影响适用于智能手机、平板、AIoT、智能展示、OTT和 WiFi 的芯片集。其中,CVE-2023-20754和CVE-2023-20755被评级为“高危”漏洞。高危漏洞CVE-2023-20754是位于 keyinstall 中的整数溢出漏洞,可能会导致界外读后果。执行该攻击要求系统执行权限...
Adobe-ColdFusion任意文件读取漏洞CVE-2024-20767
最新发布
iSee857的博客
08-22 260
漏洞是由于Adobe ColdFusion中getHeartBeat类继承了UDFMethod,并且在getAccess中方法返回3 绕过权限校验导致未授权,未经身份认证的远程攻击者可通过构造恶意请求读取目标服务器上的任意文件,进而泄露敏感信息。从源码上看这个servlet里module可选多个,危害较大的为logging时候的任意文件读取与heap_dump时候的deapdump下载。首先获取access为3的类 绕过权限检测,这里getHeartBeat类恰好为3。
漏洞预警丨Fortinet FortiOS & FortiProxy越界写入漏洞CVE-2024-21762)
C20220511的博客
03-18 1088
Fortinet FortiOS是美国飞塔(Fortinet)公司的一套专用于FortiGate网络安全平台上的安全操作系统。该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。在SSL VPN组件中存在越界写入漏洞,可能导致未经身份验证的远程威胁者通过特制HTTP请求执行任意命令或代码。daydaypoc漏洞平台于2024年3月12日已收录该漏洞。越界写入/远程命令执行。
Adobe ColdFusion 文件读取漏洞
aa1281047341的博客
10-19 132
CVE-2010-2861)漏洞复现
Adobe ColdFusion 任意文件读取漏洞复现(CVE-2023-26361)
0xSec
01-28 839
Adobe ColdFusion平台 filemanager.cfc接口存在任意文件读取漏洞,攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
vulhub:Adobe ColdFusion文件读取漏洞复现(CVE-2010-2861)
sszsNo1的博客
07-02 322
vulhub:Adobe ColdFusion文件读取漏洞CVE-2010-2861)如何复现
Coldfusion-11-Application.cfc-Template:脚本样式 Application.cfc 模板,包含 Coldfusion 11 的所有方法
06-13
Coldfusion-11-Application.cfc-模板 包含 Coldfusion 11 的所有方法的脚本样式 Application.cfc 模板。 我对 Adob​​e 的文档和缺乏脚本风格的 Coldfusion 11 示例感到沮丧,所以我创建了这个。 如何使用 更改...
渗透测试红队手册
maverickpig的博客
03-20 2675
渗透测试自学日志,开始学习怎么挖掘src,然后。 免责声明 该文章仅用于信息防御技术的交流和学习,请勿用于其他用途; 在未得到网站授权前提下,禁止对政府、事业单位、企业或其他单位网站及系统进行渗透测试;技术是把双刃剑,请遵纪守法,做一名合格的白帽子安全专家,为国家的网络安全事业做出贡献; 本文基本上是转载qwsn专栏的内容,该专栏是暗月教程的笔记,大家可以关注下。我感觉暗月的教程特别系统,有条件的 ...
CFIDE:Java 类文件 IDE
07-13
自述文件 这个存储库是做什么用的? 使用 UI 分析、编辑和逆向工程编译的 Java 类。 为了证明我的男子气概,在线保存代码,推广免费代码(目前正在重写和改进)。 我该如何设置? 从 GitHub 拉取到 Eclipse 或其他东西 (EGit)。 确保添加了库 jar,正确设置了 1.7+ 编译器合规性设置和 src/resource 文件夹。 贡献指南 编写干净的代码 改进代码 添加工作代码 包以“eu.bibl.cfide”开头,但将@author {name} 放在您创建的文件的顶部 添加有用的功能 赞美圣经 批评 不错。 我和谁说话? 圣经
vulhub学习笔记-Adobe ColdFusion 文件读取漏洞
ploto_cs的博客
09-11 629
Adobe ColdFusion 文件读取漏洞 一.漏洞介绍 (一)编号 CVE-2010-2861 (二)概述 Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品,其运行的CFML(ColdFusion Markup Language)是针对Web应用的一种程序设计语言。 Adobe ColdFusion 8、9版本中存在一处目录穿越漏洞,可导致未授权的用户读取服务器任意文件。 (三)影响版本 Adobe ColdFusion 8、9版本 二.操作步骤 (一)Vulhub i
还在手动收集资产?你比别人慢了一步
热门推荐
m0_46699477的博客
11-19 1万+
前言: 之前在进行 Web 打点的资产收集时,总是手动的收集父子公司、手动或半自动化收集根域、子域、C 段,当目标资产较多或多个目标时往往非常繁琐。 值得高兴的是,Goby 内测版发布了一个新功能,叫 ”IP 库“,可以自动化进行资产收集的各个环节,当然不仅限于上述几个方面,还包括 HTTS 证书、图标、关键字等资产收集方式,进一步详细查看官方发布的演示视频,发现其功能涵盖了目前资产收集常见的各个方面,集成了此功能后,前渗透 Web 攻击中的资产收集、指纹识别、漏洞检测、口令检测 Goby 都已涵盖,是一.
来了!Goby一年一度的红队专版正式发布!!
m0_46699477的博客
03-19 1万+
某大型活动临近,盆圈开始热闹起来,各种抢人大赛以及群集结号声!Goby今年有什么动作呢?→继续支持攻击队——红队,也称蓝军。 为何有且仅有红队专版? 如果对方是一位绝世武功高手且拥有绝世宝剑,你肯定没有信心与他一战,但如果给你配一把枪呢?哪怕是一把小米加步枪? 自Goby去年初打通渗透前中后流程并提出“实战”口号后,收到很多表哥/表姐的反馈,TOP10如下: 漏洞可以多一点吗?最好都是可以一键getshell的那种,且极少的漏报及误报 可以开放漏洞框架,让我们录漏洞吗? 新爆的漏洞可以更新快一点.
2023.3.17 | Goby红队版可利用漏洞更新
m0_46699477的博客
03-17 8967
Nacos 身份认证绕过、泛微OA SQL注入、任意文件读取CVE-2023-26256、任意文件上传CVE-2022-39952、 天融信任意文件下载、命令执行漏洞、代码执行CVE-2022-27596、 路径穿越CVE-2022-48253、CVE-2023-25717、Aspera 远程代码执行CVE-2022-47986、SolarView Compact 、CVE-2023-23333、未授权访问、CVE-2022-31474、TurboMail文件读取、Apache默认密码....
插件分享 | Vulfocus 快速启动靶场环境一键打靶
m0_46699477的博客
12-01 6407
作为安全小白的插件作者,曾经最困惑的就是,拿着自带强大靶标漏洞库的 Goby 去扫描,却总是很难找到漏洞的影子,这让起步去学习安全知识这件事变得困难,后来了解到靶场工具,开始使用 Vulfocus,一个想法随之产生:将 Vulfocus 通过插件的方式集成到 Goby,更方便快捷的一键启动漏洞环境一键扫描漏洞。于是现在的这款插件应运而生~
Goby漏洞更新 | PbootCMS 3.1.2 远程代码执行漏洞CVE-2022-32417)
m0_46699477的博客
04-01 6019
PbootCMS是PbootCMS个人开发者的一款使用PHP语言开发的开源企业建站内容管理系统(CMS)。PbootCMS 3.1.2版本中存在安全漏洞,攻击者可通过该漏洞引发代码远程执行。
Adobe Flash Media Server 4.0 的 Server-Side ActionScript 3.0 参考指南
ActionScript 3.0 是 Adobe 开发的一种面向对象的编程语言,主要用于构建富互联网应用(RIA),尤其是与 Adobe Flash Player 和 Adobe Flash Media Server 配合使用。在 ActionScript 3.0 服务器端(Server-Side)的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值