Macromedia ColdFusion HTML插入漏洞

发布时间：2002-12-16
更新时间：2002-12-16
严重程度：中
威胁程度：用户敏感信息泄露
错误类型：输入验证错误
利用方式：客户机模式

BUGTRAQ ID：6401

受影响系统

Allaire ColdFusion Server 5.0
   - Cobalt Linux 5.0
   - HP HP-UX 11.0
   - Microsoft Windows 2000 Workstation
   - Microsoft Windows 2000 Workstation SP1
   - Microsoft Windows 2000 Workstation SP2
   - Microsoft Windows 95
   - Microsoft Windows 98
   - Microsoft Windows NT 4.0
   - Microsoft Windows NT 4.0 SP1
   - Microsoft Windows NT 4.0 SP2
   - Microsoft Windows NT 4.0 SP3
   - Microsoft Windows NT 4.0 SP4
   - Microsoft Windows NT 4.0 SP5
   - Microsoft Windows NT 4.0 SP6
   - Microsoft Windows NT 4.0 SP6a
   - RedHat Linux 7.0
   - S.u.S.E. Linux 7.0
   - Sun Solaris 8.0

详细描述
ColdFusion中存在HTML注射漏洞。ColdFusion没有清除恶意HTML代码队列，当某个ColdFusion函数接收不正确的数据，ColdFusion就会产生一条异常并写入日志。

攻击者可以利用该漏洞插入恶意的HTML代码并触发异常，造成产生恶意的日志纪录。当某个用户浏览日志的时候，比如管理员，这些恶意代码就可能被用户的浏览器执行。

测试代码
尚无

解决方案
建立用文本的方式来浏览日志或者联系提供商获得补丁。

相关信息
相关连接：

Cross-site scripting vulnerability in CF 5.0：
http://online.securityfocus.com/archive/1/303545
http://online.securityfocus.com/archive/1/303554

最近严重漏洞

Macromedia ColdFusion HTML插入漏洞