一、 漏洞 CVE-2024-20767 基础信息
漏洞标题
冷融合(Coldfusion)2023/2021版本的预授权监控(Pre-Auth monitor)存在uuid泄露问题,可能导致任意文件读写。
来源:AIGC 神龙大模型
漏洞描述信息
以下 ColdFusion 版本受到Improper Access Control漏洞的影响:2023.6、2021.12及更早版本。此漏洞可能导致任意文件系统读取权限的丢失。攻击者可以利用这个漏洞规避安全措施,未经授权访问敏感文件,并执行任意文件系统写入操作。这个问题的利用并不需要用户的交互。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
来源:AIGC 神龙大模型
漏洞类别
将资源暴露给错误范围
来源:AIGC 神龙大模型
漏洞标题
ColdFusion | Improper Access Control (CWE-284)
来源:美国国家漏洞数据库 NVD
漏洞描述信息
ColdFusion versions 2023.6, 2021.12 and earlier are affected by an Improper Access Control vulnerability that could result in arbitrary file system read. An attacker could leverage this vulnerability to access or modify restricted files. Exploitation of this issue does not require user interaction. Exploitation of this issue requires the admin panel be exposed to the internet.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
访问控制不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
Adobe ColdFusion 访问控制错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Adobe ColdFusion是美国奥多比(Adobe)公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。 Adobe ColdFusion 2023.6, 2021.12 版本及之前版本存在访问控制错误漏洞,该漏洞源于存在不正确的访问控制漏洞,可能导致任意文件系统读取。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-20767 的公开POC
# POC 描述 源链接 神龙链接
1 Exploit for CVE-2024-20767 - Adobe ColdFusion https://github.com/yoryio/CVE-2024-20767 POC详情
2 Proof of Concept for CVE-2024-20767. Arbitrary file read from Adobe ColdFusion https://github.com/m-cetin/CVE-2024-20767 POC详情
3 Exploit Toolkit for Adobe ColdFusion CVE-2024-20767 Vulnerability https://github.com/Chocapikk/CVE-2024-20767 POC详情
4 None https://github.com/huyqa/cve-2024-20767 POC详情
5 Exploit for CVE-2024-20767 affecting Adobe ColdFusion https://github.com/Praison001/CVE-2024-20767-Adobe-ColdFusion POC详情
三、漏洞 CVE-2024-20767 的情报信息