Macromedia ColdFusion MX安全模型欺骗漏洞

漏洞信息详情

Macromedia ColdFusion MX安全模型欺骗漏洞

• CNNVD编号：CNNVD-200412-870
• 危害等级： 低危
  
  
• CVE编号：
  CVE-2004-2331
  
• 漏洞类型：
  
  
  访问验证错误
  
• 发布时间：
  
  2004-01-28
  
• 威胁类型：
  
  
  本地
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  macromedia
• 漏洞来源：
  Macromedia Securit…

Macromedia ColdFusion MX Server是一款强大的WEB应用服务程序，可以自动建立站点和WEB应用程序。
Macromedia ColdFusion MX Server存在一个安全Sandbox欺骗问题，攻击者可绕过一些安全检查，进行恶意攻击。
通过不使用CreateObject()或＜cfobject＞建立Java对象，而sandbox却没有任何安全防止措施。sandbox不能通过外部进行欺骗破坏，但编程者在一个共享的环境下可能存在此漏洞。

厂商补丁：
Macromedia
———-
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://download.macromedia.com/pub/security/mpsb04-01.zip” target=”_blank”>
http://download.macromedia.com/pub/security/mpsb04-01.zip

来源: XF
名称: coldfusion-mx-sandbox-bypass(14984)
链接:http://xforce.iss.net/xforce/xfdb/14984

来源: BID
名称: 9521
链接:http://www.securityfocus.com/bid/9521

来源: www.macromedia.com
链接:http://www.macromedia.com/devnet/security/security_zone/mpsb04-01.html

来源: SECUNIA
名称: 10743
链接:http://secunia.com/advisories/10743/

来源：NSFOCUS
名称：5985
链接：http://www.nsfocus.net/vulndb/5985