发布日期：2008-04-08
更新日期：2008-04-10

受影响系统：

Adobe ColdFusion 8

描述：

---

BUGTRAQ  ID: 28698
CVE(CAN) ID: CVE-2008-1656

ColdFusion MX是一款高效的网络应用服务器开发环境，具有很高的易用性和开发效率，基于标准的Java技术，可以与XML、Web Services和Microsoft.NET环境相集成。

ColdFusion MX的组件访问控制实现上存在漏洞，远程非授权用户可能利用此漏洞获取非授权访问。

即使将访问级别设置为public的话，仍可从Flex 2 remoting调用ColdFusion 8中的CFC方式，而根据设计仅有本地执行页面或组件方式才可以使用访问级别设置为public的函数。远程攻击者可以利用这个漏洞访问本应受限的函数。

<*来源：Adobe
  
  链接：http://secunia.com/advisories/29748/
        http://www.adobe.com/support/security/bulletins/apsb08-12.html
*>

建议：

---

厂商补丁：

Adobe
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://kb.adobe.com/selfservice/viewContent.do?externalId=kb403328&sliceId=1

浏览次数：2373
严重程度：0（网友投票）