英国伦敦渗透测试公司ProCheckUp在Adobe公司的ColdFusion编程语言中发现了一个漏洞,该漏洞使成千上万个公司面临着攻击的威胁。 ProCheckUp公司的研究员通过利用在ColdFusion Administrator(ColdFusion服务器的管理项目)中发现的目录遍历(directory traversal)和文件检索漏洞,能够从正在运行ColdFusion的服务器上访问文件(包括用户名和密码)。不需要知道管理密码,标准的Web浏览器就可被用来执行该攻击。 ProCheckUp管理经理Richard Brain说攻击者能够利用该漏洞来从服务器上窃取文件,获得安全……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
英国伦敦渗透测试公司ProCheckUp在Adobe公司的ColdFusion编程语言中发现了一个漏洞,该漏洞使成千上万个公司面临着攻击的威胁。
ProCheckUp公司的研究员通过利用在ColdFusion Administrator(ColdFusion服务器的管理项目)中发现的目录遍历(directory traversal)和文件检索漏洞,能够从正在运行ColdFusion的服务器上访问文件(包括用户名和密码)。不需要知道管理密码,标准的Web浏览器就可被用来执行该攻击。
ProCheckUp管理经理Richard Brain说攻击者能够利用该漏洞来从服务器上窃取文件,获得安全领域的访问权限,甚至能够修改文件内容,或关闭网站或应用程序。
据Adobe官方网站的报道,美国银行、JPMorgan Chase公司、美国联邦储备银行、美国参议院以及赛门铁克和迈克菲公司都采用了ColdFusion。
Brain说他的研究显示大概有一千万到两千万个网站是使用ColdFusion编写的,并配备使用ColdFusion管理页面。Brain说,“根据我们的调查,35%到40%使用ColdFusion的公司都暴露了其管理页面,导致了其他人能够读取文件服务器上的文件。”
ProCheckUp在今年四月向Adobe报告了该漏洞,Adobe公司在8月10日发布了补丁。Procheckup已经发布了关于这个漏洞的安全咨文,并将在7天后发布实际的利用代码,使管理员能够应用该补丁。
但Brain警告说Adobe的补丁适用于ColdFusion 8和9,大多数用户仍然在使用ColdFusion 5、6和7,针对这几个版本的补丁还未发布。
“这是一个很大的漏洞,如果这个漏洞被利用,这将导致一千万到两千万个网站受到损害。”Brain说,“我建议使用ColdFusion 7及以下版本的用户禁止访问ColdFusion管理员目录功能。这就意味着要改变Web服务器控制台设置,以防止用户对CFIDE的访问。 ”
作者
翻译
相关推荐
-
黑客发现,跨站脚本仍是最大漏洞
据HackerOne称,跨站脚本(XSS)漏洞仍然是最常被利用的漏洞。Hackerone是旨在联系企业和白帽黑 […]
-
如何检测出定制服务器中预装的恶意软件?
定制服务器意味着企业需要对更多硬件安全承担责任,并更多地依靠定制制造商,而不是传统服务器供应商……
-
被忽视的Web安全漏洞:如何识别和解决?
在Web安全方面,面对各种安全漏洞,IT和安全专业人员通常采取防御措施,而缺少积极主动的措施。
-
泰雷兹威胁报告:安全支出上升,敏感数据仍易受攻击
日前,泰雷兹与分析机构451 Research联合发布《2017泰雷兹数据威胁报告》。其中,68%的受访者表示遭遇过安全漏洞,26%的受访者表示在去年遭遇过安全漏洞——两项数据同比均有所上升……