雷鋒網3月3日消息,Adobe ColdFusion Web應用程序被發現0Day漏洞,該漏洞允許任意代碼執行操作,目前已在野外被利用。
據悉,此次安全問題允許攻擊者繞過上傳文件的限制。為了利用它,對手必須能夠將可執行代碼上傳到web伺服器上的文件目錄中。Adobe在其安全公告中說,代碼可以通過HTTP請求執行,當前更新的ColdFusion版本都會受到漏洞(CVE-2019-7816)的影響,而不管它們的平台是什麽。
負責報告漏洞的獨立顧問Charlie Arehart稱:“該漏洞發現在一名客戶的個人電腦主機中,熟練的攻擊者將能夠連接Adobe安全公告中的“點”,並找到一種利用該故障的方法。”
但是,這名顧問並沒有透漏黑客如何利用這一漏洞進行攻擊的詳細細節。他稱:“我擔心這些信息可能被未打補丁的伺服器上的其他威脅行為者使用,當下讓人們實現這個修複是至關重要的。”
得到報告後,Adobe在幾天內發布緊急預警,修複了該平台的這一關鍵漏洞。目前,防止漏洞攻擊有兩種方案:直接更新到該軟體的最新版本(目前尚不支持)或者為存儲上傳文件的目錄請求創建限制。開發人員還應該按照Adobe Coldfusion指南的建議修改代碼,以禁用可執行擴展,並自行檢查列表。
ColdFusion是一個動態Web伺服器,其CFML(ColdFusion Markup Language)是一種程序設計語言,類似現在的JavaServer Page裡的JSTL(JSP Standard Tag Lib)。ColdFusion最早由Allaire 公司開發完成,在Allaire公司被 Macromedia公司收購以後推出了Macromedia ColdFusion 5.0,類似於其他的應用程序語言, cfm文件被編譯器翻譯為對應的 c++ 語言程序,然後運行並向瀏覽器返回結果。
參考來源:黑鳥
香港九龍灣馬來街興發大廈15樓D室