【漏洞情报】Adobe ColdFusion远程代码执行漏洞通告

  • A+
所属分类:安全漏洞


Adobe ColdFusion



漏洞简介


2021年03月22日,Adobe官方发布了有关ColdFusion的安全更新通告,漏洞编号为CVE-2021-21087,影响较为广泛。目前Adobe官方已公布相关漏洞解决措施,请广大用户做好漏洞自查以及预防工作,及时将Adobe ColdFusion升级到最新版本,以免遭受黑客攻击。

漏洞详情

Adobe ColdFusion

远程代码执行漏洞

  • 漏洞名称:Adobe ColdFusion远程代码执行漏洞

  • 漏洞编号:CVE-2021-21087

  • 漏洞危害:紧急

  • 漏洞类型:远程代码执行

  • CVSSv 3评分:9.8

  • 描述:Adobe ColdFusion 存在远程代码执行漏洞,由于过滤不严,未经授权的攻击者可构造恶意请求,造成任意代码执行,获取服务器权限。

漏洞影响范围

Adobe ColdFusion 2016 <= Update 16

Adobe ColdFusion 2018 <= Update 10

Adobe ColdFusion 2021 <= Version 2021.0.0.323925

修复建议

Adobe ColdFusion 2016:更新至Adobe ColdFusion 2016 Update 17

Adobe ColdFusion 2018:更新至Adobe ColdFusion 2018 Update 11

Adobe ColdFusion 2021:更新至Adobe ColdFusion 2021 Update 1

ColdFusion JDK需求

ColdFusion 2016 HF7及以上:

此安全更新要求ColdFusion在JDK 8u121或更高版本上,如果不更新JDK/JRE,仅安装更新将无法保护服务器的安全。

此外,在JEE安装上,根据所使用的应用程序服务器类型,在相应的启动文件中设置以下JVM标志

-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**

根据使用的应用程序服务器的类型,其启动文件可能不同,如:

在Tomcat上,在Catalina.bat/sh文件中编辑Java_opts

在WebLogic上,在startWeblogic.cmd文件中编辑Java_Options

在WildFly/EAP上,在Standalone.conf文件中编辑Java_opts

参考链接

1、Adobe官方安全通告:

https://helpx.adobe.com/security/products/coldfusion/apsb21-16.html


Forest Team


微信号|ForestTeam

【漏洞情报】Adobe ColdFusion远程代码执行漏洞通告


本文始发于微信公众号(Forest Team):【漏洞情报】Adobe ColdFusion远程代码执行漏洞通告

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: