雷锋网(公众号:雷锋网)3月3日消息,Adobe ColdFusion Web应用程序被发现0Day漏洞,该漏洞允许任意代码执行操作,目前已在野外被利用。
据悉,此次安全问题允许攻击者绕过上传文件的限制。为了利用它,对手必须能够将可执行代码上传到web服务器上的文件目录中。Adobe在其安全公告中说,代码可以通过HTTP请求执行,当前更新的ColdFusion版本都会受到漏洞(CVE-2019-7816)的影响,而不管它们的平台是什么。
负责报告漏洞的独立顾问Charlie Arehart称:“该漏洞发现在一名客户的个人电脑主机中,熟练的攻击者将能够连接Adobe安全公告中的“点”,并找到一种利用该故障的方法。”
但是,这名顾问并没有透漏黑客如何利用这一漏洞进行攻击的详细细节。他称:“我担心这些信息可能被未打补丁的服务器上的其他威胁行为者使用,当下让人们实现这个修复是至关重要的。”
得到报告后,Adobe在几天内发布紧急预警,修复了该平台的这一关键漏洞。目前,防止漏洞攻击有两种方案:直接更新到该软件的最新版本(目前尚不支持)或者为存储上传文件的目录请求创建限制。开发人员还应该按照Adobe Coldfusion指南的建议修改代码,以禁用可执行扩展,并自行检查列表。
ColdFusion是一个动态Web服务器,其CFML(ColdFusion Markup Language)是一种程序设计语言,类似现在的JavaServer Page里的JSTL(JSP Standard Tag Lib)。ColdFusion最早由Allaire 公司开发完成,在Allaire公司被 Macromedia公司收购以后推出了Macromedia ColdFusion 5.0,类似于其他的应用程序语言, cfm文件被编译器翻译为对应的 c++ 语言程序,然后运行并向浏览器返回结果。
参考来源:黑鸟
