漏洞信息详情

Macromedia ColdFusion MX安全模型欺骗漏洞

• CNNVD编号：CNNVD-200412-870
• 危害等级： 低危
  
• CVE编号： CVE-2004-2331
• 漏洞类型： 访问验证错误
• 发布时间： 2004-01-28
• 威胁类型： 本地
• 更新时间： 2005-10-20
• 厂        商： macromedia
• 漏洞来源： Macromedia Securit...

漏洞简介

Macromedia ColdFusion MX Server是一款强大的WEB应用服务程序，可以自动建立站点和WEB应用程序。 Macromedia ColdFusion MX Server存在一个安全Sandbox欺骗问题，攻击者可绕过一些安全检查，进行恶意攻击。 通过不使用CreateObject()或＜cfobject＞建立Java对象，而sandbox却没有任何安全防止措施。sandbox不能通过外部进行欺骗破坏，但编程者在一个共享的环境下可能存在此漏洞。

漏洞公告

厂商补丁： Macromedia ---------- 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://download.macromedia.com/pub/security/mpsb04-01.zip

参考网址

来源: XF 名称: coldfusion-mx-sandbox-bypass(14984) 链接:http://xforce.iss.net/xforce/xfdb/14984 来源: BID 名称: 9521 链接:http://www.securityfocus.com/bid/9521 来源: www.macromedia.com 链接:http://www.macromedia.com/devnet/security/security_zone/mpsb04-01.HTML 来源: SECUNIA 名称: 10743 链接:http://secunia.com/advisories/10743/ 来源：NSFOCUS 名称：5985 链接：http://www.nsfocus.net/vulndb/5985

受影响实体

• Macromedia Coldfusion:6.1:J2ee_application_server  
• Macromedia Coldfusion:6.1  

补丁

暂无