Macromedia Macromedia ColdFusion MX CFML源码泄露漏洞(CNVD-2002-3999)
CVE编号
N/A利用情况
暂无补丁情况
N/A披露时间
2002-11-07漏洞描述
当ColdFusion MX安装在Web服务器上时,jsp、.cfm、.cfc和.cfml扩展文件就会由ColdFusion解析。映射jsp、.cfm、.cfc和.cfml扩展文件如果安装过程中没有正确指定,远程攻击者就可以获得这些扩展文件源码信息。当WEB服务程序配置成支持ColdFusion MX时,多个文件扩展将被ColdFusion处理,这些扩展为:.jsp、.cfm、.cfc和.cfml。如果这些文件扩展指定不正确,那么如果ColdFusion MX没有运行的情况下,WEB服务程序就会以静态文件方式提交这些类型文件,导致攻击者可以获得这些文件的源代码信息。ColdFusion Install Kit工具在所有平台下都能正确设置这些扩展,Windows下在{cf_home}\CFusionMX\bin\connectors目录下的Web server script也能正确设置这些扩展。而"Installing ColdFusion MX"的指南不正确的忽略了Unix平台下的-map选项,只要wsconfig.jar用于配置WEB服务程序,就需要-map选项,所有操作系统下此选项正确的格式为:<font size="+1">-map .cfm,.cfc,.cfml,.jsp解决建议
Macromedia----------目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:http://www.macromedia.com/
参考链接 |
|
|---|---|
| https://www.cnvd.org.cn/flaw/show/CNVD-2002-3999 |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论