2024年2月Lucee远程代码执行漏洞
💡
原文英文,约600词,阅读约需3分钟。
📝
内容提要
上周,安全研究人员发布了关于Lucee的三个漏洞的详细信息:isDefined、StructGet和Empty函数的远程代码执行漏洞;CF_CLIENT cookie值的远程代码执行漏洞;REST CFC请求的远程代码执行漏洞。建议修复漏洞的方法包括使用structKeyExists或keyExists函数替代isDefined函数,并禁用cookie存储机制。此外,还可以通过设置Application.cfc文件中的this.clientManagement和this.clientStorage参数来修复漏洞。同时,建议在Web服务器上添加阻止CF_CLIENT cookie的规则以增强安全防护。
🎯
关键要点
- 上周,安全研究人员发布了关于Lucee的三个漏洞的详细信息。
- 漏洞包括isDefined、StructGet和Empty函数的远程代码执行漏洞。
- CF_CLIENT cookie值的远程代码执行漏洞。
- REST CFC请求的远程代码执行漏洞,已在2023年修复(CVE-2023-38693)。
- Lucee允许在传递变量给isDefined、structGet或Empty函数时发生远程代码执行。
- 可以使用structKeyExists或keyExists函数替代isDefined函数来修复漏洞。
- 建议禁用cookie存储机制以增强安全性。
- 在Application.cfc中设置this.clientManagement和this.clientStorage参数以修复漏洞。
- 建议在Web服务器上添加阻止CF_CLIENT cookie的规则以增强安全防护。
- Fixinator工具已更新以标记漏洞实例并建议修复方法。
➡️
