安全动态

Adobe发布带外更新以修补ColdFusion零日

来源:聚铭网络    发布时间:2019-03-03    浏览次数:
 

信息来源:风尚网

Adobe今天发布了针对其ColdFusion开发平台的紧急带外更新,该平台修补了在野外被利用的零日漏洞。

在刚刚发出的安全公告中,Adobe将此漏洞描述为“文件上传限制绕过”,并将其评级为“严重”。

“这种攻击需要能够将可执行代码上传到Web可访问目录,然后通过HTTP请求执行该代码。限制对存储上载文件的目录的请求将减轻这种攻击,”Adobe说。

跟踪为CVE-2019-7816的零日影响了目前仍在维护的ColdFusion平台的三个版本 - ColdFusion 11,2016和2018。

Adobe发布了ColdFusion 11 Update 18,ColdFusion 2016 Update 10和ColdFusion 2018 Update 3版本来修补该漏洞。该公司表示,所有以前的版本都容易受到这种攻击。

该软件制造商本月通常的补丁日将在3月12日,与微软补丁周二同一天。

Adobe将五位研究人员归功于寻找零日--Charlie Arehart,Moshe Ruzin,Josh Ford,Jason Solarek和Bridge Catalog Team。所有这些都是ColdFusion开发人员和支持专家,而不是安全研究人员,他们通常会发现并报告积极的零日攻击。

早在11月,一个中国民族国家网络间谍组利用类似的ColdFusion文件上传漏洞来接管所有者未应用Adobe的2018年9月安全更新的易受攻击的服务器。

Adobe没有透露今天的零日是如何在野外被利用的。

 
 

上一篇:Gartner:2019年十大安全项目(简评版)

下一篇:2019年03月03日 聚铭安全速递