【漏洞通告】Adobe ColdFusion 远程代码执行漏洞(CVE-2021-21087)

  • A+
所属分类:安全漏洞

漏洞名称 :  Adobe ColdFusion 远程代码执行漏洞 CVE-2021-21087

组件名称 : Adobe ColdFusion 

威胁等级 : 严重

影响范围 

Adobe ColdFusion 2021 <= Version 2021.0.0.323925

Adobe ColdFusion 2018 <= Update 10

Adobe ColdFusion 2016 <= Update 16

漏洞类型 远程代码执行

利用条件

1、用户认证:不需要用户认证

2、触发方式:远程

综合评价

<综合评定利用难度>:容易,无需授权即可远程代码执行。

<综合评定威胁等级>:严重,能造成远程代码执行。


漏洞分析


组件介绍

Adobe ColdFusion(直译:冷聚变),是一个动态Web服务器,其CFML(ColdFusion Markup Language)是一种程序设计语言,类似现在的JSP里的JSTL(JSP Standard Tag Lib),从1995年开始开发,其设计思想先进,被一些语言所借鉴。


Coldfusion 最早是由 Allaire 公司开发的一种应用服务器平台,其运行的 CFML(ColdFusion Markup Language)是针对Web应用的一种脚本语言。*.cfm为文件名,在ColdFusion专用的应用服务器环境下运行。Allaire 公司被 Macromedia 公司收购以后,推出了 Macromedia ColdFusion 5.0,与其他的应用程序语言相似,cfm文件被编译器翻译为对应的 c++ ,运行并向浏览器返回结果。虽然 .cfc 和 custom tag 具有类似的重用性,但 cfc 提供了更加灵活的调用方式,如 webservice 。


Macromedia已经被Adobe并购,所以ColdFusion亦成为Adobe旗下产品。


2 漏洞描述

2021年3月23日,深信服安全团队监测到Adobe官方发布了一则漏洞安全通告,通告披露了Adobe ColdFusion组件存在远程代码执行漏洞,漏洞编号:CVE-2021-21087,漏洞危害:严重。该漏洞由于输入过滤不严,攻击者可利用该漏洞在未授权情况下,构造恶意数据造成远程代码执行攻击,最终可获取服务器最高权限。


影响范围


Adobe ColdFusion是一个动态Web服务器,其设计思想先进,被一些语言所借鉴,在全球范围内对互联网开放的资产数量达数万台,中国大陆省份主要分布在北京、辽宁,上海等地。


目前受影响的Adobe ColdFusion版本:

Adobe ColdFusion 2021 <= Version 2021.0.0.323925

Adobe ColdFusion 2018 <= Update 10

Adobe ColdFusion 2016 <= Update 16


解决方案


如何检测组件系统版本

(1)登陆之后前端访问/CFIDE/administrator/index.cfm    

查看system inforamtion

【漏洞通告】Adobe ColdFusion 远程代码执行漏洞(CVE-2021-21087)

(2) 在Adobe ColdFusion安装目录的bin目录下执行cfinfo -version(info)命令查看版本

【漏洞通告】Adobe ColdFusion 远程代码执行漏洞(CVE-2021-21087)


2 官方修复建议

当前官方已发布受影响版本的对应补丁,建议受影响的用户及时更新官方的安全补丁。链接如下:

Adobe ColdFusion 2021:

https://cfdownload.adobe.com/pub/adobe/coldfusion/2021/updates/hotfix-001-325996.jar

Adobe ColdFusion 2018:

https://cfdownload.adobe.com/pub/adobe/coldfusion/2018/updates/hotfix-011-326016.jar

Adobe ColdFusion 2016:

https://cfdownload.adobe.com/pub/adobe/coldfusion/2016/updates/hotfix-017-325979.jar


打补丁方法:

使用ColdFusion自带的JRE来运行下载的JAR文件,运行命令如下:

Windows下执行:

<cf_root>/jre/bin/java.exe -jar <jar-file-dir>/hotfix-*.jar

Linux下执行:

<cf_root>/jre/bin/java -jar <jar-file-dir>/hotfix-*.jar


时间轴


2021/3/22  深信服监测到Adobe ColdFusion官方发布安全补丁。 

2021/3/23  深信服千里目安全实验室发布漏洞通告。



点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。

【漏洞通告】Adobe ColdFusion 远程代码执行漏洞(CVE-2021-21087)


深信服千里目安全实验室

【漏洞通告】Adobe ColdFusion 远程代码执行漏洞(CVE-2021-21087)

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

● 扫码关注我们



本文始发于微信公众号(深信服千里目安全实验室):【漏洞通告】Adobe ColdFusion 远程代码执行漏洞(CVE-2021-21087)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: