一、漏洞情形

Adobe ColdFusion是Adobe公司旗下的一款动态Web做事器。
Adobe ColdFusion任意文件读取和任意文件包含高危漏洞与Adobe ColdFusion的AJP connectors干系,Adobe ColdFusion处理AJP协议数据包时存在实现毛病,导致干系参数可控。
攻击者通过向目标发送精心布局的AJP协议数据包读取目标做事器wwwroot目录下的任意文件,或将目标做事器wwwroot及其子目录下的任意文件作为jsp文件来阐明实行。
若目标做事器下的文件可控,可进一步实现远程代码实行。

二、影响版本范围

jsp读取任意文件漏洞收集平安关于AdobeColdFusion随意率性文件读取和随意率性文件包括高危破绽的预警传递 Docker

ColdFusion 2016 Update13及之前版本;

ColdFusion 2018 Update7及之前版本。

三、处置建议

目前Adobe官方已发布针对此漏洞受影响版本的补丁程序,请广大受影响用户立即参考附件补丁链接进行修复。

附件:

补丁链接:

https://helpx.adobe.com/security/products/coldfusion/apsb20-16.html