Adobe ColdFusion 漏洞列表

Unauthenticated Arbitrary File Read vulnerability due to deserialization of untrusted data in Adobe ColdFusion. The vulnerability affects ColdFusion 2021 Update 5 and earlier as well as ColdFusion 2018 Update 15 and earlier shodan-query: http.component:"Adobe ColdFusion"

FOFA: app="Adobe-ColdFusion"

Fofa: app="Adobe-ColdFusion"

Adobe ColdFusion Server 8.0.1 and earlier contain multiple cross-site scripting vulnerabilities which allow remote attackers to inject arbitrary web script or HTML via (1) the startRow parameter to administrator/logviewer/searchlog.cfm, or the query string to (2) wizards/common/_logintowizard.cfm, (3) wizards/common/_authenticatewizarduser.cfm, or (4) administrator/enter.cfm.

Multiple directory traversal vulnerabilities in the administrator console in Adobe ColdFusion 9.0.1 and earlier allow remote attackers to read arbitrary files via the locale parameter to (1) CFIDE/administrator/settings/mappings.cfm, (2) logging/settings.cfm, (3) datasources/index.cfm, (4) j2eepackaging/editarchive.cfm, and (5) enter.cfm in CFIDE/administrator/.

Adobe ColdFusion versions July 12 release (2018.0.0.310739), Update 6 and earlier, and Update 14 and earlier have an unrestricted file upload vulnerability. Successful exploitation could lead to arbitrary code execution.

Adobe Coldfusion versions 2016 (update 16 and earlier), 2018 (update 10 and earlier) and 2021.0.0.323925 are affected by an Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') vulnerability. An attacker could abuse this vulnerability to execute arbitrary JavaScript code in context of the current user. Exploitation of this issue requires user interaction.

Adobe ColdFusion versions 2023.5 (and earlier) and 2021.11 (and earlier) are affected by an Improper Access Control vulnerability that could result in a Security feature bypass. An unauthenticated attacker could leverage this vulnerability to access the administration CFM and CFC endpoints. Exploitation of this issue does not require user interaction.

Unauthenticated Arbitrary File Read vulnerability due to deserialization of untrusted data in Adobe ColdFusion. The vulnerability affects ColdFusion 2021 Update 5 and earlier as well as ColdFusion 2018 Update 15 and earlier

An attacker is able to access every CFM and CFC endpoint within the ColdFusion Administrator path /CFIDE/, of which there are 437 CFM files and 96 CFC files in a ColdFusion 2021 Update 6 install.

Adobe ColdFusion versions 2018u16 (and earlier), 2021u6 (and earlier) and 2023.0.0.330468 (and earlier) are affected by a Deserialization of Untrusted Data vulnerability that could result in Arbitrary code execution. Exploitation of this issue does not require user interaction.

Adobe ColdFusion versions 2018u17 (and earlier), 2021u7 (and earlier) and 2023u1 (and earlier) are affected by a Deserialization of Untrusted Data vulnerability that could result in Arbitrary code execution. Exploitation of this issue does not require user interaction.

There is an access control bypass vulnerability in Adobe ColdFusion versions 2023 Update 2 and below, 2021 Update 8 and below and 2018 update 18 and below, which allows a remote attacker to bypass the ColdFusion mechanisms that restrict unauthenticated external access to ColdFusion's Administrator.

Adobe ColdFusion versions 2023.5 (and earlier) and 2021.11 (and earlier) are affected by a reflected Cross-Site Scripting (XSS) vulnerability. If an unauthenticated attacker is able to convince a victim to visit a URL referencing a vulnerable page, malicious JavaScript content may be executed within the context of the victim's browser

Adobe ColdFusion versions 2023.5 (and earlier) and 2021.11 (and earlier) are affected by an Deserialization of Untrusted Data vulnerability that could result in Arbitrary code execution. Exploitation of this issue does not require user interaction.

ColdFusion versions 2023.6, 2021.12 and earlier are affected by an Improper Access Control vulnerability that could lead to arbitrary file system read. An attacker could leverage this vulnerability to bypass security measures and gain unauthorized access to sensitive files and perform arbitrary file system write. Exploitation of this issue does not require user interaction.

Adobe ColdFusion 是一种广泛用于企业级 Web 应用开发的工具，支持专有标记语言以构建 Web 应用程序并集成外部组件。该漏洞允许攻击者通过在请求 URL 中插入额外的正斜杠（如 //CFIDE/），绕过 IP 白名单限制，直接访问管理接口（如 /CFIDE/administrator）。此漏洞暴露了 533 个管理端点（437 个 CFM 文件 + 96 个 CFC 文件），结合其他漏洞（如 CVE-2023-26360），可能导致远程代码执行（RCE）或敏感信息泄露。

Adobe ColdFusion是美国奥多比（Adobe）公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。 Adobe ColdFusion 2023.12、2021.18和2025.0及更早版本存在代码问题漏洞，该漏洞源于未验证反序列化数据，可能导致任意代码执行，需用户打开恶意文件。

Adobe ColdFusion是美国奥多比（Adobe）公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。 Adobe ColdFusion 2023.12、2021.18、2025.0及之前版本存在访问控制错误漏洞，该漏洞源于访问控制不当，可能导致任意文件系统读取。

Adobe ColdFusion是美国奥多比（Adobe）公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。 Adobe ColdFusion 2023.12、2021.18、2025.0及之前版本存在操作系统命令注入漏洞，该漏洞源于未中和特殊元素，可能导致OS命令注入。

Adobe ColdFusion是美国奥多比（Adobe）公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。 Adobe ColdFusion 2023.12、2021.18、2025.0及之前版本存在代码问题漏洞，该漏洞源于未信任数据反序列化，可能导致任意代码执行。

Adobe ColdFusion是美国奥多比（Adobe）公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。 Adobe ColdFusion 2023.12版本、2021.18版本、2025.0及之前版本存在访问控制错误漏洞，该漏洞源于访问控制不当，可能导致安全功能绕过。

Adobe ColdFusion是美国奥多比（Adobe）公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。 Adobe ColdFusion 2023.12版本、2021.18版本、2025.0及之前版本存在操作系统命令注入漏洞，该漏洞源于特殊元素中和不当（OS命令注入），可能导致任意代码执行。

Adobe ColdFusion 是 Adobe 公司开发的用于 Web 应用程序开发的商业应用程序服务器。该漏洞存在于 ColdFusion 的 /CFIDE/adminapi/accessmanager.cfc 接口中，攻击者可向 ColdFusion 服务器发送不受信任的序列化数据并触发反序列化，从而执行任意代码。

Adobe ColdFusion是美国奥多比（Adobe）公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。 Adobe ColdFusion 2023.11及之前的2023.x版本、2021.17及之前的2021.x版本存在路径遍历漏洞，该漏洞源于受到路径遍历漏洞的影响，可能导致任意文件系统读取。

Adobe ColdFusion 未授权 反序列化漏洞 可导致代码执行

Adobe Coldfusion存在不安全的反序列化漏洞。此漏洞是由于对用户输入的argumentCollection参数缺乏校验导致的。

Adobe ColdFusion是一种用于构建动态Web应用程序的服务器端编程语言和开发平台。ColdFusion的主要目标是简化Web应用程序的开发过程，通过提供一个强大且易于使用的平台，使开发人员能够快速构建功能丰富的Web应用。攻击者可通过远程且未经过授权认证在服务器端读取任意文件，执行执行代码，写入后门，获取服务器权限，进而控制整个web服务器。

AdobeColdFusion是美国奥多比(Adobe)公司的一套快速应用程序开发平台。该平台存在JNDI 利用链，实现了命令执行回显和自定义 ldap服务器地址的功能。

Adobe ColdFusion存在远程代码执行漏洞，此漏洞是对外部输入的参数值校验不足导致的。

Adobe ColdFusion中存在任意文件读取漏洞，此漏洞是由于未充分验证用户输入file_name参数的数据所导致的。

Adobe ColdFusion 是 Adobe 公司开发的用于 Web 应用程序开发的商业应用程序服务器。攻击者可通过该漏洞读取系统重要⽂件（如数据库配置⽂件、系统配置⽂件）、数据库配置⽂件等等，导致⽹站处于极度不安全状态。

Adobe ColdFusion是美国奥多比（Adobe）公司的一套快速应用程序开发平台,AdobeColdFusion存在任意文件读取漏洞，可以读取任意文件。

AdobeColdFusion中存在认证绕过漏洞。该漏洞是由于IPFilterUtils类对URL路径的验证不正确导致的。

AdobeColdFusion中存在认证绕过漏洞。该漏洞是由于IPFilterUtils类对URL路径的验证不正确导致的。

Adobe ColdFusion 是 Adobe 公司开发的用于 Web 应用程序开发的商业应用程序服务器。攻击者可向 ColdFusion 服务器发送不受信任的序列化数据并触发反序列化，从而执行任意代码。

Adobe ColdFusion中存在不正当访问控制漏洞，可绕过认证功能。该漏洞是由于IPFilterUtils类对URL路径的验证不当造成的。

Adobe ColdFusion中存在不正当访问控制漏洞，可绕过认证功能。该漏洞是由于IPFilterUtils类对URL路径的验证不当造成的。

AdobeColdFusion中存在认证绕过漏洞。该漏洞是由于IPFilterUtils类对URL路径的验证不正确导致的。

Adobe ColdFusion 存在目录遍历漏洞。该漏洞是由于缺乏验证导致的。

Adobe ColdFusion存在XML外部实体注入漏洞。该漏洞是由于对XML数据验证不足导致的。

ColdFusion存在反射型跨站脚本漏洞。此漏洞是缺乏校验导致的。

Adobe ColdFusion存在目录遍历漏洞。该漏洞是由于应用程序对请求中的参数数据缺乏验证导致的。

Adobe ColdFusion存在目录遍历漏洞。该漏洞是由于应用程序对请求中的参数数据缺乏验证导致的。

AdobeColdFusion中存在缓冲区溢出漏洞。此漏洞是由于对用户提供的数据缺乏验证导致的。

Adobe ColdFusion 版本2023.5 (及更早版本)和2021.11(及更早版本)存在不正确的访问控制漏洞，可能导致安全功能被绕过。未经身份验证的攻击者可以利用此漏洞访问管理CFM和CFC端点。利用此问题不需要用户交互。

Adobe Coldfusion是Adobe为web应用程序开发的商业应用服务器。 AdobeColdfusion存在命令注入漏洞，未经身份验证的攻击者可利用该漏洞进行命令注入漏洞攻击，成功利用该漏洞允许攻击者以 root权限在底层操作系统上执行任意命令

Adobe ColdFusion是Adobe公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。该漏洞允许攻击者绕过限制对 ColdFusion管理员的外部访问的产品功能。

Adobe ColdFusion 是 Adobe 公司开发的用于 Web 应用程序开发的商业应用程序服务器。攻击者可向 ColdFusion 服务器发送不受信任的序列化数据并触发反序列化，从而执行任意代码。

Adobe ColdFusion是美国奥多比（Adobe）公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。 Adobe ColdFusion存在代码问题漏洞。攻击者利用该漏洞可以执行任意代码。

Adobe ColdFusion是美国奥多比（Adobe）公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。 Adobe ColdFusion存在代码问题漏洞，该漏洞源于受到不受信任数据反序列化漏洞的影响，可能导致任意代码执行。

Adobe ColdFusion存在远程代码执行漏洞，攻击者可以获得服务器的控制权限。

AdobeColdFusion是Adobe公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。CVE-2023-26360是一个不适当的访问控制漏洞，可能导致在当前用户的上下文中执行任意代码，造成任意文件读取或任意命令执行。

Adobe ColdFusion是Adobe公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。 Adobe发布了AdobeColdFusion远程代码执行漏洞的风险通告，该漏洞编号：CVE-2021-21087。该漏洞是由于对用户输入的内容过滤不严，未经授权的攻击者向目标服务器发送精心构造的恶意请求，在远程的服务器上执行任意代码，从而控制服务器。建议受影响用户及时升级至最新版本进行防护，做好资产自查以及预防工作，以免遭受黑客攻击。

Adobe ColdFusion 是美国奥多比（Adobe）公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。Adobe ColdFusion2016 Update 13及之前版本和ColdFusion 2018 Update7及之前版本中存在安全漏洞。攻击者可利用该漏洞从Coldfusion安装目录中读取任意文件。

【漏洞对象】Adobe ColdFusion 【涉及版本】9，9.0.1，9.0.2 【漏洞描述】 Adobe ColdFusion8、9版本中存在一处目录穿越漏洞，可导致未授权的用户读取服务器任意文件。

Adobe ColdFusion是美国奥多比（Adobe）公司的一款动态Web服务器产品，其运行的CFML（ColdFusion Markup Language）是针对Web应用的一种程序设计语言。 Adobe ColdFusion中存在安全漏洞。远程攻击者可利用该漏洞覆盖任意文件并执行任意代码。以下版本受到影响：Adobe ColdFusion (2018年发布) 2018.0.0.310739版本，ColdFusion (2016年发布)Update 6及之前版本，ColdFusion 11 Update 14及之前版本。

Adobe ColdFusion是美国奥多比（Adobe）公司的一款动态Web服务器产品，其运行的CFML（ColdFusion Markup Language）是针对Web应用的一种程序设计语言。

Adobe ColdFusion是美国奥多比（Adobe）公司的一款动态Web服务器产品，其运行的CFML（ColdFusion Markup Language）是针对Web应用的一种程序设计语言。

Adobe ColdFusion是美国奥多比（Adobe）公司的一款动态Web服务器产品，其运行的CFML（ColdFusion Markup Language）是针对Web应用的一种程序设计语言。

Adobe ColdFusion是美国奥多比（Adobe）公司的一款动态Web服务器产品，其运行的CFML（ColdFusion Markup Language）是针对Web应用的一种程序设计语言。 Adobe ColdFusion中存在远程代码执行漏洞。攻击者可利用该漏洞在用户运行的受影响程序上下文中执行任意代码，也可导致拒绝服务。ColdFusion 10，9.0.2，9.0.1及9.0版本中存在漏洞。