雷鋒網(wǎng)3月3日消息，Adobe ColdFusion Web應(yīng)用程序被發(fā)現(xiàn)0Day漏洞，該漏洞允許任意代碼執(zhí)行操作，目前已在野外被利用。

據(jù)悉，此次安全問(wèn)題允許攻擊者繞過(guò)上傳文件的限制。為了利用它，對(duì)手必須能夠?qū)⒖蓤?zhí)行代碼上傳到web服務(wù)器上的文件目錄中。Adobe在其安全公告中說(shuō)，代碼可以通過(guò)HTTP請(qǐng)求執(zhí)行，當(dāng)前更新的ColdFusion版本都會(huì)受到漏洞(CVE-2019-7816)的影響，而不管它們的平臺(tái)是什么。

負(fù)責(zé)報(bào)告漏洞的獨(dú)立顧問(wèn)Charlie Arehart稱：“該漏洞發(fā)現(xiàn)在一名客戶的個(gè)人電腦主機(jī)中，熟練的攻擊者將能夠連接Adobe安全公告中的“點(diǎn)”，并找到一種利用該故障的方法?！?/p>

但是，這名顧問(wèn)并沒(méi)有透漏黑客如何利用這一漏洞進(jìn)行攻擊的詳細(xì)細(xì)節(jié)。他稱：“我擔(dān)心這些信息可能被未打補(bǔ)丁的服務(wù)器上的其他威脅行為者使用，當(dāng)下讓人們實(shí)現(xiàn)這個(gè)修復(fù)是至關(guān)重要的?！?/p>

得到報(bào)告后，Adobe在幾天內(nèi)發(fā)布緊急預(yù)警，修復(fù)了該平臺(tái)的這一關(guān)鍵漏洞。目前，防止漏洞攻擊有兩種方案：直接更新到該軟件的最新版本（目前尚不支持）或者為存儲(chǔ)上傳文件的目錄請(qǐng)求創(chuàng)建限制。開發(fā)人員還應(yīng)該按照Adobe Coldfusion指南的建議修改代碼，以禁用可執(zhí)行擴(kuò)展，并自行檢查列表。

ColdFusion是一個(gè)動(dòng)態(tài)Web服務(wù)器，其CFML（ColdFusion Markup Language）是一種程序設(shè)計(jì)語(yǔ)言，類似現(xiàn)在的JavaServer Page里的JSTL（JSP Standard Tag Lib）。ColdFusion最早由Allaire 公司開發(fā)完成，在Allaire公司被 Macromedia公司收購(gòu)以后推出了Macromedia ColdFusion 5.0，類似于其他的應(yīng)用程序語(yǔ)言, cfm文件被編譯器翻譯為對(duì)應(yīng)的 c++ 語(yǔ)言程序，然后運(yùn)行并向?yàn)g覽器返回結(jié)果。

參考來(lái)源：黑鳥

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。