еще одна "бага" если можно так, в админке в секции логирования, вместо логов можно скачать к себе любой файл из ФС

http://www.site.com/cfide/administrator/logging/downloadlog.cfm?logfile=../../../../boot.ini

никакой проверки нету, уязвимость присувствует в версии 7, в других версиях не проверял, если получится проверить отпишусь

уязвимый код

видно что переменная #url.log# никак не проверяется