Adobe3月3日发布了紧急更新，修复了ColdFusion Web应用程序开发平台的关键漏洞。该错误可导致任意代码执行，并已在野外被利用。

　　安全问题允许攻击者绕过上传文件的限制。要利用它，攻击者必须能够将可执行代码上载到Web服务器上的文件目录。

Adobe在其安全公告中称，该代码可以通过HTTP请求执行。

Adobe 发布预警

　　Adobe has released security updates for ColdFusion versions 2018, 2016 and 11. These updates resolve a critical vulnerability that could lead to arbitrary code execution in the context of the running ColdFusion service.   

　　Adobe is aware of a report that CVE-2019-7816 has been exploited in the wild.  

影响版本

ColdFusion 2018

ColdFusion 2016

ColdFusion 11

解决方案，查看链接并更新

https://helpx.adobe.com/security/products/coldfusion/apsb19-14.html

ColdFusion介绍

　　ColdFusion（直译：冷聚变），是一个动态Web服务器，其CFML（ColdFusion Markup Language）是一种程序设计语言，类似现在的JavaServer Page里的JSTL（JSP Standard Tag Lib），从1995年开始开发，其设计思想被一些人认为非常先进，被一些语言所借鉴。

　　Coldfusion 最早是由 Allaire 公司开发的一种应用服务器平台，其运行的 CFML（ColdFusion Markup Language） 针对Web应用的一种脚本语言。文件以*.cfm为文件名，在ColdFusion专用的应用服务器环境下运行。在 Allaire 公司被 Macromedia 公司收购以后,推出了 Macromedia ColdFusion 5.0，类似于其他的应用程序语言, cfm文件被编译器翻译为对应的 c++ 语言程序，然后运行并向浏览器返回结果。

　　自Macromedia接收Allaire公司后，把原来基于C++开发的ColdFusion改为基于JRun的J2EE平台的一个Web Application（JRun也是Allaire公司的一个J2EE服务器产品），并正式推出 Macromedia ColdFusion MX 6.0 版本,此时的cfm运行原理就和java非常的类似，cfm文件被应用服务器编译为对应的 java 代码并编译成 .class 文件在 jvm 虚拟机上运行。从此ColdFusion完全从一个功能齐全的动态Web服务器转变为一个J2EE应用服务器。同时依旧保留了原有版本的所有特性。

　　ColdFusion 的页面后缀通常为.cfm，同时 Macromeida 公司在发布 ColdFusion MX 的时候借鉴于 java 面向对象设计风格，设置了 .cfc 这样的 ColdFusion 文件后缀，他们被称作 ColdFusion Components [CFM组件]。 cfc 文件就好比一组 cfm function 的集合，使对应的代码具有高度的可重用性。虽然 .cfc 和 custom tag 具有类似的重用性，但 cfc 提供了更加灵活的调用方式，例如 webservice 方式的调用支持。

　　CFM 并不等同于 ColdFusion。 CFM 是一种标志语言，而 ColdFusion 是一种应用服务器环境。对于标准的语法结构的 cfm,cfc 文件，它们不仅仅可以运行在 Macromedia ColdFusion 服务器上，同样的也可以直接在BlueDragon服务器环境下。