英國倫敦滲透測試公司ProCheckUp在Adobe公司的ColdFusion編程語言中發(fā)明了一個漏洞，該漏洞使成千上萬個公司面臨著攻擊的要挾。

ProCheckUp公司的研究員通過利用在ColdFusion Administrator（ColdFusion服務(wù)器的管理項目）中發(fā)明的目錄遍歷（directory traversal）和文件檢索漏洞，能夠從正在運行ColdFusion的服務(wù)器上訪問文件（包含用戶名和密碼）。不需要知道管理密碼，標準的Web瀏覽器就可被用來履行該攻擊。

ProCheckUp管理經(jīng)理Richard Brain說攻擊者能夠利用該漏洞來從服務(wù)器上竊取文件，獲得安全范疇的訪問權(quán)限，甚至能夠修正文件內(nèi)容，或關(guān)閉網(wǎng)站或利用程序。

據(jù)Adobe官方網(wǎng)站的報道，美國銀行、JPMorgan Chase公司、美國聯(lián)邦儲備銀行、美國參議院以及賽門鐵克和邁克菲公司都采用了ColdFusion。

Brain說他的研究顯示大概有一千萬到兩千萬個網(wǎng)站是應用ColdFusion編寫的，并配備應用ColdFusion管理頁面。Brain說，“根據(jù)我們的調(diào)查，35%到40%應用ColdFusion的公司都裸露了其管理頁面，導致了其他人能夠讀取文件服務(wù)器上的文件。”

ProCheckUp在今年四月向Adobe報告了該漏洞，Adobe公司在8月10日發(fā)布了補丁。Procheckup已經(jīng)發(fā)布了關(guān)于這個漏洞的安全咨文，并將在7天后發(fā)布實際的利用代碼，使管理員能夠利用該補丁。

但Brain警告說Adobe的補丁實用于ColdFusion 8和9，大多數(shù)用戶仍然在應用ColdFusion 5、6和7，針對這幾個版本的補丁還未發(fā)布。

“這是一個很大的漏洞，如果這個漏洞被利用，這將導致一千萬到兩千萬個網(wǎng)站受到侵害�！盉rain說，“我建議應用ColdFusion 7及以下版本的用戶禁止訪問ColdFusion管理員目錄功效。這就意味著要轉(zhuǎn)變Web服務(wù)器把持臺設(shè)置，以防止用戶對CFIDE的訪問。 ”