ColdFusion 搜索隐式范围与 APSB24-14
💡
原文英文,约300词,阅读约需2分钟。
📝
内容提要
Adobe发布ColdFusion安全补丁APSB24-14修复严重漏洞,修复了任意文件系统读取的风险。补丁改变了ColdFusion处理未指定范围变量的方式。
🎯
关键要点
- Adobe发布ColdFusion安全补丁APSB24-14,修复了严重漏洞。
- 补丁修复了任意文件系统读取的风险。
- ColdFusion处理未指定范围变量的方式发生重大变化。
- 更新后,ColdFusion默认设置为searchimplicitscopes=FALSE。
- 未加范围标识符的变量名将返回错误。
- 使用#name#作为#url.name#或#form.name#的快捷方式将不再有效。
- 设置变量的代码仍然可以正常工作。
- 在函数中,参数或局部范围将被搜索,但不会级联到其他范围。
- 可以通过设置this.searchImplicitScopes=true来禁用此更改,但Adobe不建议这样做。
- Adobe建议将此选项视为临时解决方案,直到所有应用代码修复完成。
- 存在未加范围的变量风险,称为范围注入。
🏷️
标签
➡️
