Adobe ColdFusion 认证绕过漏洞

• 漏洞编号：CVE-2023-29298
  
• 漏洞类型：权限失控(越权)
• 漏洞等级：高危
• 发布时间：2023-07-12

漏洞描述：

Adobe ColdFusion是一个快速应用程序开发平台，其运行的 CFML（ColdFusion Markup Language）针对Web应用的一种脚本语言。

ColdFusion 管理员的外部访问的产品功能中存在了一个影响Adobe ColdFusiion的访问控制绕过漏洞。该漏洞允许攻击者通过在请求的URL中插入意外的附加正斜杠字符来访问管理端点。

影响版本：

修复建议

目前这些漏洞已经修复，受影响用户可升级到以下版本：

Adobe ColdFusion 2018 >=  2018 Update 17
Adobe ColdFusion 2021 >=  2021 Update 7
Adobe ColdFusion 2023 >=  2023 Update 1

参考链接:

https://helpx.adobe.com/security/products/coldfusion/apsb23-40.html
https://www.rapid7.com/blog/post/2023/07/11/cve-2023-29298-adobe-coldfusion-access-control-bypass/