ColdFusion被爆在野利用0day漏洞,Adobe发布紧急预警

  Adobe3月3日发布了紧急更新,修复了ColdFusion Web应用程序开发平台的关键漏洞。该错误可导致任意代码执行,并已在野外被利用。

  安全问题允许攻击者绕过上传文件的限制。要利用它,攻击者必须能够将可执行代码上载到Web服务器上的文件目录。

Adobe在其安全公告中称,该代码可以通过HTTP请求执行。

Adobe 发布预警

  Adobe has released security updates for ColdFusion versions 2018, 2016 and 11. These updates resolve a critical vulnerability that could lead to arbitrary code execution in the context of the running ColdFusion service.   

  Adobe is aware of a report that CVE-2019-7816 has been exploited in the wild.  

影响版本

ColdFusion 2018

ColdFusion 2016

ColdFusion 11

解决方案,查看链接并更新

https://helpx.adobe.com/security/products/coldfusion/apsb19-14.html

ColdFusion介绍

  ColdFusion(直译:冷聚变),是一个动态Web服务器,其CFML(ColdFusion Markup Language)是一种程序设计语言,类似现在的JavaServer Page里的JSTL(JSP Standard Tag Lib),从1995年开始开发,其设计思想被一些人认为非常先进,被一些语言所借鉴。

  Coldfusion 最早是由 Allaire 公司开发的一种应用服务器平台,其运行的 CFML(ColdFusion Markup Language) 针对Web应用的一种脚本语言。文件以*.cfm为文件名,在ColdFusion专用的应用服务器环境下运行。在 Allaire 公司被 Macromedia 公司收购以后,推出了 Macromedia ColdFusion 5.0,类似于其他的应用程序语言, cfm文件被编译器翻译为对应的 c++ 语言程序,然后运行并向浏览器返回结果。

  自Macromedia接收Allaire公司后,把原来基于C++开发的ColdFusion改为基于JRun的J2EE平台的一个Web Application(JRun也是Allaire公司的一个J2EE服务器产品),并正式推出 Macromedia ColdFusion MX 6.0 版本,此时的cfm运行原理就和java非常的类似,cfm文件被应用服务器编译为对应的 java 代码并编译成 .class 文件在 jvm 虚拟机上运行。从此ColdFusion完全从一个功能齐全的动态Web服务器转变为一个J2EE应用服务器。同时依旧保留了原有版本的所有特性。

  ColdFusion 的页面后缀通常为.cfm,同时 Macromeida 公司在发布 ColdFusion MX 的时候借鉴于 java 面向对象设计风格,设置了 .cfc 这样的 ColdFusion 文件后缀,他们被称作 ColdFusion Components [CFM组件]。 cfc 文件就好比一组 cfm function 的集合,使对应的代码具有高度的可重用性。虽然 .cfc 和 custom tag 具有类似的重用性,但 cfc 提供了更加灵活的调用方式,例如 webservice 方式的调用支持。

  CFM 并不等同于 ColdFusion。 CFM 是一种标志语言,而 ColdFusion 是一种应用服务器环境。对于标准的语法结构的 cfm,cfc 文件,它们不仅仅可以运行在 Macromedia ColdFusion 服务器上,同样的也可以直接在BlueDragon服务器环境下。

发表评论

评论已关闭。

相关文章