【漏洞情报】Adobe ColdFusion远程代码执行漏洞通告

admin 2021年3月23日16:00:50评论100 views字数 1150阅读3分50秒阅读模式


Adobe ColdFusion



漏洞简介


2021年03月22日,Adobe官方发布了有关ColdFusion的安全更新通告,漏洞编号为CVE-2021-21087,影响较为广泛。目前Adobe官方已公布相关漏洞解决措施,请广大用户做好漏洞自查以及预防工作,及时将Adobe ColdFusion升级到最新版本,以免遭受黑客攻击。

漏洞详情

Adobe ColdFusion

远程代码执行漏洞

  • 漏洞名称:Adobe ColdFusion远程代码执行漏洞

  • 漏洞编号:CVE-2021-21087

  • 漏洞危害:紧急

  • 漏洞类型:远程代码执行

  • CVSSv 3评分:9.8

  • 描述:Adobe ColdFusion 存在远程代码执行漏洞,由于过滤不严,未经授权的攻击者可构造恶意请求,造成任意代码执行,获取服务器权限。

漏洞影响范围

Adobe ColdFusion 2016 <= Update 16

Adobe ColdFusion 2018 <= Update 10

Adobe ColdFusion 2021 <= Version 2021.0.0.323925

修复建议

Adobe ColdFusion 2016:更新至Adobe ColdFusion 2016 Update 17

Adobe ColdFusion 2018:更新至Adobe ColdFusion 2018 Update 11

Adobe ColdFusion 2021:更新至Adobe ColdFusion 2021 Update 1

ColdFusion JDK需求

ColdFusion 2016 HF7及以上:

此安全更新要求ColdFusion在JDK 8u121或更高版本上,如果不更新JDK/JRE,仅安装更新将无法保护服务器的安全。

此外,在JEE安装上,根据所使用的应用程序服务器类型,在相应的启动文件中设置以下JVM标志

-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**

根据使用的应用程序服务器的类型,其启动文件可能不同,如:

在Tomcat上,在Catalina.bat/sh文件中编辑Java_opts

在WebLogic上,在startWeblogic.cmd文件中编辑Java_Options

在WildFly/EAP上,在Standalone.conf文件中编辑Java_opts

参考链接

1、Adobe官方安全通告:

https://helpx.adobe.com/security/products/coldfusion/apsb21-16.html


Forest Team


微信号|ForestTeam

【漏洞情报】Adobe ColdFusion远程代码执行漏洞通告


本文始发于微信公众号(Forest Team):【漏洞情报】Adobe ColdFusion远程代码执行漏洞通告

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年3月23日16:00:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞情报】Adobe ColdFusion远程代码执行漏洞通告http://cn-sec.com/archives/298915.html

发表评论

匿名网友 填写信息