一、 漏洞 CVE-2025-49535 基础信息
漏洞信息
# ColdFusion | XML 外部实体引用限制不当 ('XXE') 漏洞 (CWE-611)
## 漏洞概述
ColdFusion 的多个版本中存在 XML 外部实体引用限制不当 ('XXE') 漏洞,可能导致安全功能绕过。攻击者可利用该漏洞访问敏感信息或导致服务中断,而无需用户交互。
## 影响版本
- ColdFusion 2025.2
- ColdFusion 2023.14
- ColdFusion 2021.20
- 早期版本
## 漏洞细节
该漏洞存在于内部 IP 地址受限的组件中,允许攻击者通过绕过安全措施访问敏感信息或导致服务中断。该漏洞的利用不需要用户交互,并已改变攻击范围。
## 影响
攻击者可以利用此漏洞访问敏感信息或造成拒绝服务(DoS),并通过绕过安全措施来提升其访问权限。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
ColdFusion | Improper Restriction of XML External Entity Reference ('XXE') (CWE-611)
来源:美国国家漏洞数据库 NVD
漏洞描述信息
ColdFusion versions 2025.2, 2023.14, 2021.20 and earlier are affected by an Improper Restriction of XML External Entity Reference ('XXE') vulnerability that could result in a Security feature bypass. An attacker could exploit this vulnerability to access sensitive information or denial of service by bypassing security measures. Exploitation of this issue does not require user interaction and scope is changed. The vulnerable component is restricted to internal IP addresses.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
XML外部实体引用的不恰当限制(XXE)
来源:美国国家漏洞数据库 NVD
漏洞标题
Adobe ColdFusion 代码问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Adobe ColdFusion是美国奥多比(Adobe)公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。 Adobe ColdFusion 2025.2及之前版本、2023.14及之前版本和2021.20及之前版本存在代码问题漏洞,该漏洞源于XML外部实体引用限制不当,可能导致安全功能绕过。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-49535 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
