漏洞名称:
Adobe ColdFusion 2021 ≤ Update 17
漏洞分析
组件介绍
ColdFusion 是一个应用服务器。ColdFusion 也是一种 Web 编程语言,它允许 Web 应用程序与各种后端系统进行通信。使用 ColdFusion,您可以创建动态网页,提供用户输入、数据库查找、一天中的时间或您需要的任何其他标准。ColdFusion 页面由标准 HTML 及其专有的 ColdFusion 标记语言 (CFML) 组成。
漏洞简介
2024年12月24日,深瞳漏洞实验室监测到一则Adobe-ColdFusion组件存在任意文件读取漏洞的信息,漏洞编号:CVE-2024-53961,漏洞威胁等级:高危。
Adobe 发布的紧急安全更新中显示,修复了一个ColdFusion 2023 和 2021版本中的严重漏洞。攻击者可以利用该漏洞从系统中读取任意文件,从而可能导致敏感数据和配置文件泄露。注:Adobe 已确认 CVE-2024-53961 的POC已经存在。
影响范围
目前受影响的Adobe-ColdFusion版本:
Adobe ColdFusion 2023 ≤ Update 11
Adobe ColdFusion 2021 ≤ Update 17
解决方案
官方修复建议
安全版本:
Adobe ColdFusion 2023 Update 12
Adobe ColdFusion 2021 Update 18
官方已发布最新版本修复该漏洞,建议受影响用户将Adobe ColdFusion更新到安全版本及以上版本。
下载链接:
ColdFusion 2023 : https://helpx.adobe.com/coldfusion/kb/coldfusion-2023-update-12.html
ColdFusion 2021 : https://helpx.adobe.com/coldfusion/kb/coldfusion-2021-update-18.html
深信服解决方案
风险资产发现
支持对Adobe-ColdFusion的主动检测,可批量检出业务场景中该事件的受影响资产情况,相关产品如下:
【深信服主机安全检测响应平台CWPP】已发布资产检测方案,指纹ID:0003675。
【深信服云镜YJ】已发布资产检测方案,指纹ID:0003675。
【深信服漏洞评估工具TSS】已发布资产检测方案,指纹ID:0003675。
参考链接
https://helpx.adobe.com/security/products/coldfusion/apsb24-107.html
时间轴
2024/12/24
深瞳漏洞实验室监测到Adobe ColdFusion 任意文件读取漏洞信息。
2024/12/24
深瞳漏洞实验室发布漏洞通告。
点击阅读原文,
原文始发于微信公众号(深信服千里目安全技术中心):【漏洞通告】Adobe ColdFusion任意文件读取漏洞(CVE-2024-53961)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论