CVE-2024-20767｜Adobe ColdFusion 任意文件读取漏洞（POC）

0x00 前言

Adobe ColdFusion，是一个应用服务器平台，其运行的 CFML（ColdFusion Markup Language）针对Web应用的一种脚本语言，类似现在的JSP里的JSTL（JSP Standard Tag Lib）。文件以*.cfm为文件名。

0x01 漏洞描述

由于Adobe ColdFusion在存在一个接口泄露了uuid,而使用该uuid可访问后台logging模块API,其中未对文件名进行验证过滤,导致可以读取任意文件。

0x02 CVE编号

CVE-2024-20767

0x03 影响版本

Adobe ColdFusion 2023 <= Update 6

Adobe ColdFusion 2021 <= Update 12

0x04 漏洞详情

https://github.com/yoryio/CVE-2024-20767

0x05 参考链接

https://helpx.adobe.com/security/products/coldfusion/apsb24-14.html