http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200103-020

ColdFusion是Allaire公司的一个Web应用服务器产品，可运行在多个平台上。一个恶意的CFML开发者可以使用这些未公开的标记和功能创建Web应用程序在服务器上运行进行很多类型的非授权访问，包括注册表、数据库和其它一些安全存取。这些标记可以用CFdecryptutility找到。在3.0版本中主要的危险标记是CFAdmin_Registry_GET和CFAdmin_Registry_SET。4.0版本中主要是CFNEWINTERNALREGISTRY和CFNEWINTERNALADMINSECURITY。联合使用cfusion_encrypt()和cfusion_decrypt()函数，这些标记可以用来得到管理员口令。得到这些口令后，入侵者可以使用各种管理功能，包括上传下载文件等

来源:BID
名称:550
链接:http://www.securityfocus.com/bid/550
来源:XF
名称:coldfusion-server-cfml-tags
链接:http://xforce.iss.net/static/3288.php
来源:ALLAIRE
名称:ASB99-10
链接:http://www.allaire.com/handlers/index.cfm?ID=11714&Method;=Full