网络安全

网络安全

    网络安全

    当前位置: 首页 >> 网络安全 >> 正文

    【漏洞通告】Craft CMS 远程代码执行漏洞和Adobe ColdFusion任意文件读取漏洞

    发布时间:2024-12-30浏览次数:

    Craft CMS 远程代码执行漏洞(CVE-2024-56145)

    漏洞分析

    组件介绍

    Craft CMS 是一个流行的内容管理系统(CMS),它专注于为设计师和开发人员提供灵活的工具,以便他们可以创建精美的网站和数字体验

    漏洞描述

    2024年12月23日,深漏洞实验室监测到一则Craft CMS组件存在代码执行漏洞的信息,漏洞编号:CVE-2024-56145,漏洞威胁等级:严重。

    Craft CMS存在远程代码执行漏洞,如果受影响版本的Craft CMS用户的 php.ini 配置文件中启用了"register_argc_argv",未授权攻击者可以利用该漏洞执行任意代码,导致服务器失陷

    影响范围

    目前受影响的Craft CMS版本:

    5.0.0-RC1 ≤ Craft CMS < 5.5.2

    4.0.0-RC1 ≤ Craft CMS < 4.13.2

    3.0.0 ≤ Craft CMS < 3.9.14

    解决方案

    临时修复建议

    在不影响业务的前提下,禁用 php.ini 中的 register_argc_argv 配置。

    官方修复建议

    安全版本:

    Craft Cms 4.13.2

    Craft Cms 5.5.2

    官方已发布最新版本修复该漏洞,建议受影响用户将Craft Cms更新到安全版本及以上的版本。

    下载链接:

    https://github.com/craftcms/cms/releases/tag/5.5.7

    商业版下载链接:https://craftcms.com/pricing

    Adobe ColdFusion任意文件读取漏洞(CVE-2024-53961)

    漏洞分析

    组件介绍

    ColdFusion 是一个应用服务器。ColdFusion 也是一种 Web 编程语言,它允许 Web 应用程序与各种后端系统进行通信。使用 ColdFusion,您可以创建动态网页,提供用户输入、数据库查找、一天中的时间或您需要的任何其他标准。ColdFusion 页面由标准 HTML 及其专有的 ColdFusion 标记语言 (CFML) 组成

    漏洞描述

    2024年12月24日,深漏洞实验室监测到一则Adobe-ColdFusion组件存在任意文件读取漏洞的信息,漏洞编号:CVE-2024-53961,漏洞威胁等级:高危。

    Adobe 发布的紧急安全更新中显示,修复了一个ColdFusion 2023 和 2021版本中的严重漏洞。攻击者可以利用该漏洞从系统中读取任意文件,从而可能导致敏感数据和配置文件泄露。注:Adobe 已确认 CVE-2024-53961 的POC已经存在

    影响范围

    目前受影响的Adobe-ColdFusion版本:

    Adobe ColdFusion 2023 ≤ Update 11

    Adobe ColdFusion 2021 ≤ Update 17

    四、修复建议

    安全版本:

    Adobe ColdFusion 2023 Update 12

    Adobe ColdFusion 2021 Update 18

    官方已发布最新版本修复该漏洞,建议受影响用户将Adobe ColdFusion更新到安全版本及以上版本。

    下载链接:

    ColdFusion 2023 :

    https://helpx.adobe.com/coldfusion/kb/coldfusion-2023-update-12.html

    ColdFusion 2021 :

    https://helpx.adobe.com/coldfusion/kb/coldfusion-2021-update-18.html