← volver
CVE-2010-2861

CVE-2010-2861

CVSS 9.8 CRITICALEPSS 99.7%● KEVCWE-22
En resumen

La consola de administrador de Adobe ColdFusion tiene una falla que permite a los atacantes leer cualquier archivo del servidor manipulando un parámetro llamado 'locale' en varias páginas. Esto es crítico porque expone información sensible como credenciales de base de datos y secretos de la aplicación.

Detalle técnico

Vulnerabilidad de travesía de directorios en Adobe ColdFusion 9.0.1 y anteriores, afectando múltiples páginas del administrador (mappings.cfm, logging/settings.cfm, datasources/index.cfm, j2eepackaging/editarchive.cfm, enter.cfm). Atacantes remotos pueden eludir restricciones del sistema de archivos mediante valores manipulados en el parámetro 'locale'. Requiere acceso de red a la consola de administrador; el impacto incluye divulgación no autorizada de datos sensibles de configuración.

Resumen generado y traducido por IA a partir de la descripción oficial.
Multiple directory traversal vulnerabilities in the administrator console in Adobe ColdFusion 9.0.1 and earlier allow remote attackers to read arbitrary files via the locale parameter to (1) CFIDE/administrator/settings/mappings.cfm, (2) logging/settings.cfm, (3) datasources/index.cfm, (4) j2eepackaging/editarchive.cfm, and (5) enter.cfm in CFIDE/administrator/.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
n/a · n/a
PoCs públicas encontradas3
githubgithub.com/greysneakthief/14641-v20exploitdbwww.exploit-db.com/exploits/14641no verificadoexploitdbwww.exploit-db.com/exploits/16985no verificado
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
http://securityreason.com/securityalert/8137http://securityreason.com/securityalert/8148https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2010-2861http://www.adobe.com/support/security/bulletins/apsb10-18.htmlhttp://www.gnucitizen.org/blog/coldfusion-directory-traversal-faq-cve-2010-2861/http://www.procheckup.com/vulnerability_manager/vulnerabilities/pr10-07