一、漏洞详情

Adobe ColdFusion 是一种商业级的快速应用开发平台，它主要用于构建和部署基于网络的应用程序。

近日，监测到一则 Adobe ColdFusion 组件存在任意文件读取漏洞（CVE-2024-20767）。由于 Adobe ColdFusion 的访问控制存在设计缺陷，攻击者可利用该漏洞在未授权的情况下，构造恶意数据执行目录遍历攻击，最终造成服务器敏感性信息泄露。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

Adobe ColdFusion 2023 ≤ Update 6

Adobe ColdFusion 2021 ≤ Update 12

三、修复建议

   目前漏洞已修复，受影响用户可升级到以下版本：

Adobe ColdFusion 2023 ≥ Update 7

Adobe ColdFusion 2021 ≥ Update 13