近日,Adobe发布了针对ColdFusion Web应用程序关键漏洞的紧急修复补丁。ColdFusion是一个商用的快速网络应用程序开发平台,攻击者可以借助这一漏洞(CVE-2019-7816)执行任意程序,现已被黑客利用,被列为重大(Critical)等级,Adobe呼吁用户应尽快安装最新补丁。
据悉,这个漏洞允许黑客绕过上传文件的限制,将执行文件上传到网络服务器上的文件目录,再同过HTTP请求执行恶意文件。
该漏洞影响ColdFusion 11、ColdFusion 2016与ColdFusion 2018。Adobe例行性的安全更新安排与微软一致,为每个月的第二个周二,3月的修补日期应为3月12日,但由于这是远程攻击漏洞,且已被黑客利用,促使Adobe紧急提前放出了更新。
目前,防止漏洞攻击有两种办法:直接更新到该软件的最新版本(目前尚不支持)或者
限制对上传文件储存目录的请求。开发人员还应该按照Adobe Coldfusion指南的建议修改代码,以禁用可执行扩展,并自行检查列表。
上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。
