Adobe ColdFusion
漏洞简介
2021年03月22日,Adobe官方发布了有关ColdFusion的安全更新通告,漏洞编号为CVE-2021-21087,影响较为广泛。目前Adobe官方已公布相关漏洞解决措施,请广大用户做好漏洞自查以及预防工作,及时将Adobe ColdFusion升级到最新版本,以免遭受黑客攻击。
漏洞详情
Adobe ColdFusion
远程代码执行漏洞
-
漏洞名称:Adobe ColdFusion远程代码执行漏洞
-
漏洞编号:CVE-2021-21087
-
漏洞危害:紧急
-
漏洞类型:远程代码执行
-
CVSSv 3评分:9.8
-
描述:Adobe ColdFusion 存在远程代码执行漏洞,由于过滤不严,未经授权的攻击者可构造恶意请求,造成任意代码执行,获取服务器权限。
漏洞影响范围
Adobe ColdFusion 2016 <= Update 16
Adobe ColdFusion 2018 <= Update 10
Adobe ColdFusion 2021 <= Version 2021.0.0.323925
修复建议
Adobe ColdFusion 2016:更新至Adobe ColdFusion 2016 Update 17
Adobe ColdFusion 2018:更新至Adobe ColdFusion 2018 Update 11
Adobe ColdFusion 2021:更新至Adobe ColdFusion 2021 Update 1
ColdFusion JDK需求
ColdFusion 2016 HF7及以上:
此安全更新要求ColdFusion在JDK 8u121或更高版本上,如果不更新JDK/JRE,仅安装更新将无法保护服务器的安全。
此外,在JEE安装上,根据所使用的应用程序服务器类型,在相应的启动文件中设置以下JVM标志
-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**
根据使用的应用程序服务器的类型,其启动文件可能不同,如:
在Tomcat上,在Catalina.bat/sh文件中编辑Java_opts
在WebLogic上,在startWeblogic.cmd文件中编辑Java_Options
在WildFly/EAP上,在Standalone.conf文件中编辑Java_opts
参考链接
1、Adobe官方安全通告:
https://helpx.adobe.com/security/products/coldfusion/apsb21-16.html
Forest Team
微信号|ForestTeam
本文始发于微信公众号(Forest Team):【漏洞情报】Adobe ColdFusion远程代码执行漏洞通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论