Adobe ColdFusion不安全文件访问权限漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1191043 漏洞类型 设计错误
发布时间 2007-04-10 更新时间 2007-04-11
CVE编号 CVE-2007-1874 CNNVD-ID CNNVD-200704-182
漏洞平台 N/A CVSS评分 7.2
|漏洞来源
https://www.securityfocus.com/bid/23405
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200704-182
|漏洞详情
ColdFusionMX是一款高效的网络应用服务器开发环境,具有很高的易用性和开发效率,基于标准的Java技术,可以与XML、WebServices和Microsoft.NET环境相集成。Adobe的补丁在设置目录访问权限时存在漏洞,本地攻击者可能利用此漏洞提升自己的权限。Adobe安全公告APSB06-17中所提供补丁的目录结构中没有正确的设置目录权限。该补丁中的一个文档是从当前的Verity目录中获得的,而该文档中包含有多个完全可写的文件和目录,这可能允许攻击者替换或编辑受影响的文件,然后在下一次服务器重启获得提升的权限。
|受影响的产品
Adobe ColdFusion MX 7.02
|参考资料

来源:www.adobe.com
链接:http://www.adobe.com/support/security/bulletins/apsb07-08.html
来源:SECUNIA
名称:24850
链接:http://secunia.com/advisories/24850
来源:OSVDB
名称:34930
链接:http://osvdb.org/34930
来源:IDEFENSE
名称:20070410AdobeMacromediaColdFusionMX7InsecureFilePermissionsVulnerability
链接:http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=510
来源:XF
名称:coldfusion-verity-privilege-escalation(33571)
链接:http://xforce.iss.net/xforce/xfdb/33571
来源:SECTRACK
名称:1017899
链接:http://www.securitytracker.com/id?1017899
来源:BID
名称:23405
链接:http://www.securityfocus.com/bid/23405
来源:VUPEN
名称:ADV-2007-1341
链接:http://www.frsirt.com/english/advisories/2007/1341