发布日期：2004-01-28
更新日期：2004-02-06

受影响系统：

Macromedia ColdFusion Server MX J2EE 6.1
Macromedia ColdFusion Server MX 6.1

描述：

---

BUGTRAQ  ID: 9521
CVE(CAN) ID: CVE-2004-2331

Macromedia ColdFusion MX Server是一款强大的WEB应用服务程序，可以自动建立站点和WEB应用程序。

Macromedia ColdFusion MX Server存在一个安全Sandbox欺骗问题，攻击者可绕过一些安全检查，进行恶意攻击。

通过不使用CreateObject()或<cfobject>建立Java对象，而sandbox却没有任何安全防止措施。sandbox不能通过外部进行欺骗破坏，但编程者在一个共享的环境下可能存在此漏洞。

<*来源：Macromedia Security Bulletin
  
  链接：http://www.macromedia.com/devnet/security/security_zone/mpsb04-01.html
*>

建议：

---

厂商补丁：

Macromedia
----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://download.macromedia.com/pub/security/mpsb04-01.zip

浏览次数：2655
严重程度：0（网友投票）