全球人工智能与机器人峰会 CCF-GAIR 2019
您正在使用IE低版浏览器,为了您的雷锋网账号安全和更好的产品体验,强烈建议使用更快更安全的浏览器
网络安全 正文
发私信给灵火K
发送

0

Adobe发布带外更新以修补ColdFusion零日

本文作者:灵火K 2019-03-03 16:06
导语:该漏洞已在野外被利用

雷锋网(公众号:雷锋网)3月3日消息,Adobe ColdFusion Web应用程序被发现0Day漏洞,该漏洞允许任意代码执行操作,目前已在野外被利用。

据悉,此次安全问题允许攻击者绕过上传文件的限制。为了利用它,对手必须能够将可执行代码上传到web服务器上的文件目录中。Adobe在其安全公告中说,代码可以通过HTTP请求执行,当前更新的ColdFusion版本都会受到漏洞(CVE-2019-7816)的影响,而不管它们的平台是什么。

Adobe发布带外更新以修补ColdFusion零日

负责报告漏洞的独立顾问Charlie Arehart称:“该漏洞发现在一名客户的个人电脑主机中,熟练的攻击者将能够连接Adobe安全公告中的“点”,并找到一种利用该故障的方法。”

但是,这名顾问并没有透漏黑客如何利用这一漏洞进行攻击的详细细节。他称:“我担心这些信息可能被未打补丁的服务器上的其他威胁行为者使用,当下让人们实现这个修复是至关重要的。”

得到报告后,Adobe在几天内发布紧急预警,修复了该平台的这一关键漏洞。目前,防止漏洞攻击有两种方案:直接更新到该软件的最新版本(目前尚不支持)或者为存储上传文件的目录请求创建限制。开发人员还应该按照Adobe Coldfusion指南的建议修改代码,以禁用可执行扩展,并自行检查列表。

ColdFusion是一个动态Web服务器,其CFML(ColdFusion Markup Language)是一种程序设计语言,类似现在的JavaServer Page里的JSTL(JSP Standard Tag Lib)。ColdFusion最早由Allaire 公司开发完成,在Allaire公司被 Macromedia公司收购以后推出了Macromedia ColdFusion 5.0,类似于其他的应用程序语言, cfm文件被编译器翻译为对应的 c++ 语言程序,然后运行并向浏览器返回结果。

参考来源:黑鸟

雷锋网原创文章,未经授权禁止转载。详情见转载须知

Adobe发布带外更新以修补ColdFusion零日
分享:
相关文章

文章点评:

表情
最新文章
请填写申请人资料
姓名
电话
邮箱
微信号
作品链接
个人简介
为了您的账户安全,请验证邮箱
您的邮箱还未验证,完成可获20积分哟!
请验证您的邮箱
立即验证
完善账号信息
您的账号已经绑定,现在您可以设置密码以方便用邮箱登录
立即设置 以后再说