← voltar
CVE-2010-2861

CVE-2010-2861

CVSS 9.8 CRITICALEPSS 99.7%● KEVCWE-22
Em resumo

O console de administrador do Adobe ColdFusion tem uma falha que permite que atacantes leiam qualquer arquivo do servidor alterando um parâmetro chamado 'locale' em várias páginas. Isso é crítico porque expõe informações sensíveis como credenciais de banco de dados e segredos da aplicação.

Detalhe técnico

Vulnerabilidade de travessia de diretório no Adobe ColdFusion 9.0.1 e anteriores, afetando múltiplas páginas do administrador (mappings.cfm, logging/settings.cfm, datasources/index.cfm, j2eepackaging/editarchive.cfm, enter.cfm). Atacantes remotos podem contornar restrições do sistema de arquivos por meio de valores manipulados no parâmetro 'locale'. Requer acesso à rede do console de administrador; o impacto inclui divulgação não autorizada de dados sensíveis de configuração.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Multiple directory traversal vulnerabilities in the administrator console in Adobe ColdFusion 9.0.1 and earlier allow remote attackers to read arbitrary files via the locale parameter to (1) CFIDE/administrator/settings/mappings.cfm, (2) logging/settings.cfm, (3) datasources/index.cfm, (4) j2eepackaging/editarchive.cfm, and (5) enter.cfm in CFIDE/administrator/.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · n/a
PoCs públicas encontradas3
githubgithub.com/greysneakthief/14641-v20exploitdbwww.exploit-db.com/exploits/14641não verificadoexploitdbwww.exploit-db.com/exploits/16985não verificado
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
http://securityreason.com/securityalert/8137http://securityreason.com/securityalert/8148https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2010-2861http://www.adobe.com/support/security/bulletins/apsb10-18.htmlhttp://www.gnucitizen.org/blog/coldfusion-directory-traversal-faq-cve-2010-2861/http://www.procheckup.com/vulnerability_manager/vulnerabilities/pr10-07