CVE-2025-61823CVE-2025-61823是Adobe ColdFusion中的一个高危安全漏洞,属于XML外部实体引用(XXE)类型。该漏洞影响ColdFusion 2025.4、2023.16、2021.22及所有更早版本。攻击者作为高权限用户,可以通过构造恶意的XML输入,利用不安全的XML解析器配置,读取服务器上的任意文件系统内容。这可能导致敏感配置文件、凭据、源代码等机密数据泄露。由于该漏洞需要用户交互才能利用,且攻击复杂度较低,因此CVSS评分为6.2(中危)。攻击成功后,攻击者能够获取ColdFusion服务器上的敏感信息,可能进一步用于横向移动或提权攻击。该漏洞的scope已更改,表明攻击影响范围超出了组件本身的权限范围。Adobe安全团队([email protected])已确认此漏洞并发布安全公告APSB25-105。
该XXE漏洞源于ColdFusion的XML处理功能未正确限制外部实体引用。当应用解析包含恶意构造的XML文档时,解析器会跟随外部实体声明访问本地或远程资源。攻击者可以利用XML的SYSTEM或PUBLIC标识符配合file://、http://等协议,指定要读取的文件路径。例如,通过在XML中声明<!DOCTYPE foo [<!ENTITY xxe SYSTEM "file:///etc/passwd">]>,然后在元素中引用&xxe,解析器会尝试读取目标文件内容并将其插入到XML响应中。由于ColdFusion通常以较高权限运行,攻击者可读取/etc/passwd、配置文件、数据库连接字符串等敏感文件。攻击需要诱导具有高权限的用户访问特制页面或提交包含恶意XML的数据。防御措施包括:禁用XML外部实体、升级到Adobe官方修补版本、限制XML解析器权限等。