ColdFusion被爆在野利用0day漏洞,Adobe发布紧急预警

释放双眼,带上耳机,听听看~!

Adobe今天发布了紧急更新,修复了ColdFusion Web应用程序开发平台的关键漏洞。该错误可导致任意代码执行,并已在野外被利用。

安全问题允许攻击者绕过上传文件的限制。要利用它,攻击者必须能够将可执行代码上载到Web服务器上的文件目录。

Adobe在其安全公告中称,该代码可以通过HTTP请求执行。

Adobe 发布公告

Adobe has released security updates for ColdFusion versions 2018, 2016 and 11.These updates resolve acriticalvulnerability that could lead to arbitrary code execution in the context of the running ColdFusion service.   

Adobe is aware of a report that CVE-2019-7816 has been exploited in the wild.  

影响版本

ColdFusion 2018

ColdFusion 2016

ColdFusion 11

解决方案,查看链接并更新

https://helpx.adobe.com/security/products/coldfusion/apsb19-14.html

ColdFusion介绍

ColdFusion(直译:冷聚变),是一个动态Web服务器,其CFML(ColdFusion Markup Language)是一种程序设计语言,类似现在的JavaServer Page里的JSTL(JSP Standard Tag Lib),从1995年开始开发,其设计思想被一些人认为非常先进,被一些语言所借鉴。

Coldfusion 最早是由 Allaire 公司开发的一种应用服务器平台,其运行的 CFML(ColdFusion Markup Language) 针对Web应用的一种脚本语言。文件以*.cfm为文件名,在ColdFusion专用的应用服务器环境下运行。在 Allaire 公司被 Macromedia 公司收购以后,推出了 Macromedia ColdFusion 5.0,类似于其他的应用程序语言, cfm文件被编译器翻译为对应的 c++ 语言程序,然后运行并向浏览器返回结果。

自Macromedia接收Allaire公司后,把原来基于C++开发的ColdFusion改为基于JRun的J2EE平台的一个Web Application(JRun也是Allaire公司的一个J2EE服务器产品),并正式推出 Macromedia ColdFusion MX 6.0 版本,此时的cfm运行原理就和java非常的类似,cfm文件被应用服务器编译为对应的 java 代码并编译成 .class 文件在 jvm 虚拟机上运行。从此ColdFusion完全从一个功能齐全的动态Web服务器转变为一个J2EE应用服务器。同时依旧保留了原有版本的所有特性。

ColdFusion 的页面后缀通常为.cfm,同时 Macromeida 公司在发布 ColdFusion MX 的时候借鉴于 java 面向对象设计风格,设置了 .cfc 这样的 ColdFusion 文件后缀,他们被称作 ColdFusion Components [CFM组件]。 cfc 文件就好比一组 cfm function 的集合,使对应的代码具有高度的可重用性。虽然 .cfc 和 custom tag 具有类似的重用性,但 cfc 提供了更加灵活的调用方式,例如 webservice 方式的调用支持。

CFM 并不等同于 ColdFusion。 CFM 是一种标志语言,而 ColdFusion 是一种应用服务器环境。对于标准的语法结构的 cfm,cfc 文件,它们不仅仅可以运行在 Macromedia ColdFusion 服务器上,同样的也可以直接在BlueDragon服务器环境下。

依然是单手手机编辑,有空求转发

本文源自微信公众号:黑鸟

人已赞赏
安全工具

叙利亚电子军(SEA)低调行事,持续使用安卓木马监视反对派

2019-10-16 10:41:19

安全工具

完全匿名化?论恐怖分子们如何利用比特币$招募活动资金

2019-10-16 10:41:30

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索