近日,Adobe官方發佈針對Adobe Coldfusion安全更新補丁(編號:APSB20-16),用於修補Adobe ColdFusion 任意文件讀取漏洞(編號:CVE-2020-3761)和任意文件包含漏洞(編號:CVE-2020-3794)。現將相關漏洞詳情通報如下:
一、漏洞情況
Adobe ColdFusion是Adobe公司旗下的一款動態Web服務器。Adobe ColdFusion任意文件讀取和任意文件包含高危漏洞與Adobe ColdFusion的AJP connectors相關,Adobe ColdFusion處理AJP協議數據包時存在實現缺陷,導致相關參數可控。攻擊者通過向目標發送精心構造的AJP協議數據包讀取目標服務器wwwroot目錄下的任意文件,或將目標服務器wwwroot及其子目錄下的任意文件作為jsp文件來解釋執行。若目標服務器下的文件可控,可進一步實現遠程代碼執行。
二、影響版本範圍
ColdFusion 2016 Update13及之前版本;
ColdFusion 2018 Update7及之前版本。
三、處置建議
目前Adobe官方已發佈針對此漏洞受影響版本的補丁程序,請廣大受影響用戶立即參考附件補丁鏈接進行修復。
附件:
補丁鏈接:
https://helpx.adobe.com/security/products/coldfusion/apsb20-16.html
閱讀更多 寧夏網警巡查執法 的文章