雷鋒網(wǎng)3月3日消息，Adobe ColdFusion Web應用程序被發(fā)現(xiàn)0Day漏洞，該漏洞允許任意代碼執(zhí)行操作，目前已在野外被利用。

據(jù)悉，此次安全問題允許攻擊者繞過上傳文件的限制。為了利用它，對手必須能夠?qū)⒖蓤?zhí)行代碼上傳到web服務器上的文件目錄中。Adobe在其安全公告中說，代碼可以通過HTTP請求執(zhí)行，當前更新的ColdFusion版本都會受到漏洞(CVE-2019-7816)的影響，而不管它們的平臺是什么。

負責報告漏洞的獨立顧問Charlie Arehart稱：“該漏洞發(fā)現(xiàn)在一名客戶的個人電腦主機中，熟練的攻擊者將能夠連接Adobe安全公告中的“點”，并找到一種利用該故障的方法。”

但是，這名顧問并沒有透漏黑客如何利用這一漏洞進行攻擊的詳細細節(jié)。他稱：“我擔心這些信息可能被未打補丁的服務器上的其他威脅行為者使用，當下讓人們實現(xiàn)這個修復是至關重要的。”

得到報告后，Adobe在幾天內(nèi)發(fā)布緊急預警，修復了該平臺的這一關鍵漏洞。目前，防止漏洞攻擊有兩種方案：直接更新到該軟件的最新版本（目前尚不支持）或者為存儲上傳文件的目錄請求創(chuàng)建限制。開發(fā)人員還應該按照Adobe Coldfusion指南的建議修改代碼，以禁用可執(zhí)行擴展，并自行檢查列表。

ColdFusion是一個動態(tài)Web服務器，其CFML（ColdFusion Markup Language）是一種程序設計語言，類似現(xiàn)在的JavaServer Page里的JSTL（JSP Standard Tag Lib）。ColdFusion最早由Allaire 公司開發(fā)完成，在Allaire公司被 Macromedia公司收購以后推出了Macromedia ColdFusion 5.0，類似于其他的應用程序語言, cfm文件被編譯器翻譯為對應的 c++ 語言程序，然后運行并向瀏覽器返回結(jié)果。

參考來源：黑鳥

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。