【漏洞通告】Adobe ColdFusion反序列化远程命令执行漏洞

admin

101085
文章

87
评论

2023年3月23日18:09:45评论40 views字数 626阅读2分5秒阅读模式

0x01 漏洞信息

漏洞名称：Adobe ColdFusion反序列化远程命令执行漏洞

漏洞编号：CVE-2023-26359

漏洞等级：高

披漏时间：2023年03月14日

0x02 漏洞描述

Adobe ColdFusion存在反序列化远程命令执行漏洞，该漏洞是由于ColdFusion允许对不受信任的数据进行反序列化导致。攻击者可利用该漏洞在未授权的情况下，构造恶意数据进行远程代码执行攻击，最终可以在服务器上执行任意命令。

0x03 漏洞状态

脆弱组件覆盖面	利用门槛	POC工具	EXP工具
广	低	未公开	未公开

0x04 影响版本

ColdFusion 2021 ≤ Update 5、ColdFusion 2018 ≤ Update 1

0x05 漏洞排查

用户尽快排查所有应用系统是否在ColdFusion 2021 ≤ Update 5、ColdFusion 2018 ≤ Update 1之间。若存在应用使用，极大可能会受到影响。

0x06 漏洞加固

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：https://helpx.adobe.com/coldfusion/kb/coldfusion-2018-update-16.htmlhttps://helpx.adobe.com/coldfusion/kb/coldfusion-2021-update-6.html

原文始发于微信公众号（安迈信科应急响应中心）：【漏洞通告】Adobe ColdFusion反序列化远程命令执行漏洞

左青龙
微信扫一扫

右白虎
微信扫一扫

【漏洞通告】Adobe ColdFusion反序列化远程命令执行漏洞

0x01 漏洞信息

0x02 漏洞描述

0x03 漏洞状态

0x04 影响版本

0x05 漏洞排查

0x06 漏洞加固

Palo Alto Networks PAN-OS 命令注入漏洞(CVE-2024-3400)

(互联网未公开)建云科技系统存在SQL注入漏洞

CVE-2024-3400

[漏洞复现] Progress Software Flowmon CVE-2024-2389 命令执行漏洞

Weblogic RCE(CVE-2024-21006)

【漏洞复现】Saber企业级开发平台-SQL注入-list

漏洞预警 pkpmbs 工程监督系统 fileupordown文件上传漏洞

kkFileView存在任意文件上传致远程代码执行漏洞[POC]

【漏洞复现】CVE-2024-28116

CVE-2024-3400

发表评论

在线咨询

微信