马上更新! 严重的 ColdFusion 0day 漏洞已遭在野利用
编译:360代码卫士团队
Adobe 发布紧急更新,修复了 ColdFusion web app 开发平台上的一个严重漏洞。该漏洞可导致任意代码执行并已遭利用。
Adobe 在安全通告中指出,该漏洞可导致攻击者绕过文件更新限制。要利用该漏洞,攻击者必须能够将可执行代码上传到 web 服务器上的文件目录中。随后可通过 HTTP 请求执行该代码。
严重漏洞已遭利用
未安装当前更新的所有 ColdFusion 版本均受该漏洞(CVE-2019-7816)影响,不管使用的是什么平台。
独立顾问 Charlie Arehart 报告了该漏洞,他指出是在有人利用该漏洞攻击他的其中一个客户端时发现该漏洞的。发现攻击者的方法后,他将其报告给 Adobe 并给出了解决方案提案。Adobe 迅速响应并“在几天内”发布修复方案。
Arehart 并未分享黑客如何设法执行该攻击的详情,担心其它攻击者会借此攻击未修复的服务器,他指出,“让大家执行这个修复方案是重中之重。”
然而,他认为有经验的攻击者能够从 Adobe 的安全通告中“连点成线”并找到利用方法。
更新或缓解
Adobe ColdFusion 指南推荐称,如果当前无法应用最新更新,那么一种缓解方法是为存储已上传文件的目录请求创建限制条件。开发人员还应该修改代码以禁止可执行扩展并自行检查列表。
ColdFusion 2018(Update2 及更早版本)、2016(Update 9 及更早版本)和 ColdFusion 11(Update 17 及更早版本)易受攻击。
Adobe 还在服务器设置目录中增加了“CFFile 上传的被阻止的文件扩展名”选项,创建不应当由 cffile 标签/函数上传的扩展列表。该设置很重要,因为它优先处理由这些更新引入的应用程序级别的设置 blockedExtForFileUpload,允许开发人员将不应被上传的文件扩展名加入黑名单。
负责报告该漏洞的是 Charlie Arehart、Moshe Ruzin、Josh Ford、Jason Solarek和Bridge Catalog 团队。他们均为开发人员和支持专家。
推荐阅读
原文链接
https://www.bleepingcomputer.com/news/security/update-coldfusion-now-critical-zero-day-bug-exploited-in-the-wild/
本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士 www.codesafe.cn”。