漏洞名称：Adobe BlazeDS SSRF漏洞

当前位置：首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

发表日期：2015-11-27 16:55:36

漏洞名称：Adobe BlazeDS SSRF漏洞(CVE-2015-5255)

CVE ID:CVE-2015-5255

受影响系统：

Adobe ColdFusion 〈 11 Update 7

Adobe ColdFusion 〈 10 Update 18

Adobe LiveCycle Data Services 4.7.x-4.7.0.354178

Adobe LiveCycle Data Services 4.6.2.x-4.6.2.354178

Adobe LiveCycle Data Services 4.5.x-4.5.1.354177

Adobe LiveCycle Data Services 3.1.x-3.1.0.354180

Adobe LiveCycle Data Services 3.0.x-3.0.0.354175

详细信息：

BlazeDS是一个基于服务器的Java远程调用和Web消息传递技术。

Adobe BlazeDS在实现上存在服务端请求伪造漏洞，通过构造的XML文档，远程攻击者利用此漏洞可发送HTTP流量到内部网服务器。

漏洞来源：

James Kettle

解决方案：

厂商补丁：

Adobe

-----

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://helpx.adobe.com/security/products/livecycleds/apsb15-30.html

https://helpx.adobe.com/security/products/coldfusion/apsb15-29.html

■服务概述