【漏洞通告】Adobe ColdFusion 远程代码执行漏洞（CVE-2021-21087）

Adobe ColdFusion（直译：冷聚变），是一个动态Web服务器，其CFML（ColdFusion Markup Language）是一种程序设计语言，类似现在的JSP里的JSTL（JSP Standard Tag Lib），从1995年开始开发，其设计思想先进，被一些语言所借鉴。

Coldfusion 最早是由 Allaire 公司开发的一种应用服务器平台，其运行的 CFML（ColdFusion Markup Language）是针对Web应用的一种脚本语言。*.cfm为文件名，在ColdFusion专用的应用服务器环境下运行。Allaire 公司被 Macromedia 公司收购以后，推出了 Macromedia ColdFusion 5.0，与其他的应用程序语言相似，cfm文件被编译器翻译为对应的 c++ ，运行并向浏览器返回结果。虽然 .cfc 和 custom tag 具有类似的重用性，但 cfc 提供了更加灵活的调用方式，如 webservice 。

Macromedia已经被Adobe并购，所以ColdFusion亦成为Adobe旗下产品。

2021年3月23日，深信服安全团队监测到Adobe官方发布了一则漏洞安全通告，通告披露了Adobe ColdFusion组件存在远程代码执行漏洞，漏洞编号：CVE-2021-21087，漏洞危害：严重。该漏洞由于输入过滤不严，攻击者可利用该漏洞在未授权情况下，构造恶意数据造成远程代码执行攻击，最终可获取服务器最高权限。

Adobe ColdFusion是一个动态Web服务器，其设计思想先进，被一些语言所借鉴，在全球范围内对互联网开放的资产数量达数万台，中国大陆省份主要分布在北京、辽宁，上海等地。

目前受影响的Adobe ColdFusion版本：

Adobe ColdFusion 2021 <= Version 2021.0.0.323925

Adobe ColdFusion 2018 <= Update 10

Adobe ColdFusion 2016 <= Update 16

(1)登陆之后前端访问/CFIDE/administrator/index.cfm    

查看system inforamtion

(2) 在Adobe ColdFusion安装目录的bin目录下执行cfinfo -version(info)命令查看版本

当前官方已发布受影响版本的对应补丁，建议受影响的用户及时更新官方的安全补丁。链接如下：

Adobe ColdFusion 2021：

https://cfdownload.adobe.com/pub/adobe/coldfusion/2021/updates/hotfix-001-325996.jar

Adobe ColdFusion 2018：

https://cfdownload.adobe.com/pub/adobe/coldfusion/2018/updates/hotfix-011-326016.jar

Adobe ColdFusion 2016：

https://cfdownload.adobe.com/pub/adobe/coldfusion/2016/updates/hotfix-017-325979.jar

打补丁方法：

使用ColdFusion自带的JRE来运行下载的JAR文件，运行命令如下：

Windows下执行：

<cf_root>/jre/bin/java.exe -jar <jar-file-dir>/hotfix-*.jar

Linux下执行：

<cf_root>/jre/bin/java -jar <jar-file-dir>/hotfix-*.jar

点击阅读原文，及时关注并登录深信服智安全平台，可轻松查询漏洞相关解决方案。