您正在使用IE低版浏览器,为了您的雷峰网账号安全和更好的产品体验,强烈建议使用更快更安全的浏览器
此为临时链接,仅用于文章预览,将在时失效
政企安全 正文
发私信给灵火K
发送

0

Adobe发布带外更新以修补ColdFusion零日

本文作者:灵火K 2019-03-03 16:06
导语:该漏洞已在野外被利用

雷锋网3月3日消息,Adobe ColdFusion Web应用程序被发现0Day漏洞,该漏洞允许任意代码执行操作,目前已在野外被利用。

据悉,此次安全问题允许攻击者绕过上传文件的限制。为了利用它,对手必须能够将可执行代码上传到web服务器上的文件目录中。Adobe在其安全公告中说,代码可以通过HTTP请求执行,当前更新的ColdFusion版本都会受到漏洞(CVE-2019-7816)的影响,而不管它们的平台是什么。

Adobe发布带外更新以修补ColdFusion零日

负责报告漏洞的独立顾问Charlie Arehart称:“该漏洞发现在一名客户的个人电脑主机中,熟练的攻击者将能够连接Adobe安全公告中的“点”,并找到一种利用该故障的方法。”

但是,这名顾问并没有透漏黑客如何利用这一漏洞进行攻击的详细细节。他称:“我担心这些信息可能被未打补丁的服务器上的其他威胁行为者使用,当下让人们实现这个修复是至关重要的。”

得到报告后,Adobe在几天内发布紧急预警,修复了该平台的这一关键漏洞。目前,防止漏洞攻击有两种方案:直接更新到该软件的最新版本(目前尚不支持)或者为存储上传文件的目录请求创建限制。开发人员还应该按照Adobe Coldfusion指南的建议修改代码,以禁用可执行扩展,并自行检查列表。

ColdFusion是一个动态Web服务器,其CFML(ColdFusion Markup Language)是一种程序设计语言,类似现在的JavaServer Page里的JSTL(JSP Standard Tag Lib)。ColdFusion最早由Allaire 公司开发完成,在Allaire公司被 Macromedia公司收购以后推出了Macromedia ColdFusion 5.0,类似于其他的应用程序语言, cfm文件被编译器翻译为对应的 c++ 语言程序,然后运行并向浏览器返回结果。

参考来源:黑鸟

雷峰网原创文章,未经授权禁止转载。详情见转载须知

分享:
相关文章

资深编辑

我就是我,是颜色不一样的焰火~
当月热门文章
最新文章
请填写申请人资料
姓名
电话
邮箱
微信号
作品链接
个人简介
为了您的账户安全,请验证邮箱
您的邮箱还未验证,完成可获20积分哟!
请验证您的邮箱
立即验证
完善账号信息
您的账号已经绑定,现在您可以设置密码以方便用邮箱登录
立即设置 以后再说