0
雷鋒網3月3日消息,Adobe ColdFusion Web應用程序被發現0Day漏洞,該漏洞允許任意代碼執行操作,目前已在野外被利用。
據悉,此次安全問題允許攻擊者繞過上傳文件的限制。為了利用它,對手必須能夠將可執行代碼上傳到web服務器上的文件目錄中。Adobe在其安全公告中說,代碼可以通過HTTP請求執行,當前更新的ColdFusion版本都會受到漏洞(CVE-2019-7816)的影響,而不管它們的平臺是什么。
負責報告漏洞的獨立顧問Charlie Arehart稱:“該漏洞發現在一名客戶的個人電腦主機中,熟練的攻擊者將能夠連接Adobe安全公告中的“點”,并找到一種利用該故障的方法。”
但是,這名顧問并沒有透漏黑客如何利用這一漏洞進行攻擊的詳細細節。他稱:“我擔心這些信息可能被未打補丁的服務器上的其他威脅行為者使用,當下讓人們實現這個修復是至關重要的。”
得到報告后,Adobe在幾天內發布緊急預警,修復了該平臺的這一關鍵漏洞。目前,防止漏洞攻擊有兩種方案:直接更新到該軟件的最新版本(目前尚不支持)或者為存儲上傳文件的目錄請求創建限制。開發人員還應該按照Adobe Coldfusion指南的建議修改代碼,以禁用可執行擴展,并自行檢查列表。
ColdFusion是一個動態Web服務器,其CFML(ColdFusion Markup Language)是一種程序設計語言,類似現在的JavaServer Page里的JSTL(JSP Standard Tag Lib)。ColdFusion最早由Allaire 公司開發完成,在Allaire公司被 Macromedia公司收購以后推出了Macromedia ColdFusion 5.0,類似于其他的應用程序語言, cfm文件被編譯器翻譯為對應的 c++ 語言程序,然后運行并向瀏覽器返回結果。
參考來源:黑鳥
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
