ColdFusion 搜索隐式范围与 APSB24-14
💡
原文英文,约300词,阅读约需2分钟。
📝
内容提要
Adobe发布ColdFusion安全补丁APSB24-14修复严重漏洞,修复了任意文件系统读取的风险。补丁改变了ColdFusion处理未指定范围变量的方式。
🎯
关键要点
- Adobe发布ColdFusion安全补丁APSB24-14,修复了严重漏洞。
- 补丁修复了任意文件系统读取的风险。
- ColdFusion处理未指定范围变量的方式发生重大变化。
- 更新后,ColdFusion默认设置为searchimplicitscopes=FALSE。
- 未加范围标识符的变量名将返回错误。
- 使用#name#作为#url.name#或#form.name#的快捷方式将不再有效。
- 设置变量的代码仍然可以正常工作。
- 在函数中,参数或局部范围将被搜索,但不会级联到其他范围。
- 可以通过设置this.searchImplicitScopes=true来禁用此更改,但Adobe不建议这样做。
- Adobe建议将此选项视为临时解决方案,直到所有应用代码修复完成。
- 存在未加范围的变量风险,称为范围注入。
❓
延伸问答
ColdFusion安全补丁APSB24-14修复了什么漏洞?
补丁修复了任意文件系统读取的风险。
ColdFusion如何处理未指定范围的变量?
更新后,ColdFusion默认设置为searchimplicitscopes=FALSE,未加范围标识符的变量名将返回错误。
使用#name#作为#url.name#或#form.name#的快捷方式有什么变化?
在searchImplicitScopes=false的情况下,#name#不再可以作为#url.name#或#form.name#的快捷方式。
如何临时禁用ColdFusion的searchImplicitScopes更改?
可以通过设置this.searchImplicitScopes=true来禁用此更改,但Adobe不建议这样做。
Adobe对未加范围的变量风险有什么看法?
Adobe指出存在未加范围的变量风险,称为范围注入,并建议将禁用选项视为临时解决方案。
在函数中,ColdFusion如何处理参数和局部范围?
在函数中,参数或局部范围将被搜索,但不会级联到其他范围。
🏷️
标签
➡️
