漏洞描述:

AdobeColdFusion是一个快速应用程序开发平台，其运行的 CFML（ColdFusion Markup Language）针对Web应用的一种脚本语言。

2023年7月11日，Adobe发布ColdFusion安全更新，修复了ColdFusion 2018、2021、2023中的多个安全漏洞，其中包括一个认证绕过漏洞

漏洞编号：CVE-2023-29298  漏洞危害等级：高危。

ColdFusion管理员的外部访问的产品功能中存在了一个影响Adobe ColdFusiion的访问控制绕过漏洞。该漏洞允许攻击者通过在请求的URL中插入意外的附加正斜杠字符来访问管理端点。

影响版本:
ColdFusion 2023=GA Release
Adobe ColdFusion 2018<=Update 16
Adobe ColdFusion 2021<=Update 6

修复建议:
正式防护方案：
目前这些漏洞已经修复，受影响用户可升级到以下版本：
Adobe ColdFusion 2018 >=  2018 Update 17
Adobe ColdFusion 2021 >=  2021 Update 7

Adobe ColdFusion 2023 >=  2023 Update 1

临时防护方案：
若无法更新到安全版本，建议配置网络访问控制规则，减少服务暴露的风险以降低被攻击的风险