Adobe针对ColdFusion中的三个漏洞发布了安全更新。这些漏洞中的两个被评为“严重”,因为它们允许代码执行并且可以绕过访问控制。另一个被标记为关键,因为它允许信息泄露。
更为关键的问题是代码执行漏洞,因为它可能允许服务器的接管。
漏洞详细信息如下:
| 漏洞类别 | 漏洞影响 | 严重 | CVE编号 |
|---|
| 安全绕过 | 信息披露 | 重要 | CVE-2019-8072 |
| 通过易受攻击的组件进行命令注入 | 任意代码执行 | 危急 | CVE-2019-8073 |
| 路径遍历漏洞 | 访问控制旁路 | 危急 | CVE-2019-8074 |
要解决这些漏洞,Adobe建议用户更新到ColdFusion 2018 Update 5和ColdFusion 2016 Update 12。
这些漏洞是通过以下方式发现的:
Pete Freitag / Foundeo Inc.(https://foundeo.com/)(CVE-2019-8072)
Knownsec 404团队的错误代码(CVE-2019-8073)
Aura信息安全部门(CVE-2019-8074)的Daniel Underhay(特别感谢Techlegalia Pty.Ltd。的Ben Reid和Foundeo Inc.的Pete Freitag(https://foundeo.com/)为他们的调查提供了帮助问题。
Knownsec和Freitag告诉BleepingComputer,这些漏洞是通过他们自己的研究发现的,并未在野外发现。
