信息来源:风尚网
Adobe今天发布了针对其ColdFusion开发平台的紧急带外更新,该平台修补了在野外被利用的零日漏洞。
在刚刚发出的安全公告中,Adobe将此漏洞描述为“文件上传限制绕过”,并将其评级为“严重”。
“这种攻击需要能够将可执行代码上传到Web可访问目录,然后通过HTTP请求执行该代码。限制对存储上载文件的目录的请求将减轻这种攻击,”Adobe说。
跟踪为CVE-2019-7816的零日影响了目前仍在维护的ColdFusion平台的三个版本 - ColdFusion 11,2016和2018。
Adobe发布了ColdFusion 11 Update 18,ColdFusion 2016 Update 10和ColdFusion 2018 Update 3版本来修补该漏洞。该公司表示,所有以前的版本都容易受到这种攻击。
该软件制造商本月通常的补丁日将在3月12日,与微软补丁周二同一天。
Adobe将五位研究人员归功于寻找零日--Charlie Arehart,Moshe Ruzin,Josh Ford,Jason Solarek和Bridge Catalog Team。所有这些都是ColdFusion开发人员和支持专家,而不是安全研究人员,他们通常会发现并报告积极的零日攻击。
早在11月,一个中国民族国家网络间谍组利用类似的ColdFusion文件上传漏洞来接管所有者未应用Adobe的2018年9月安全更新的易受攻击的服务器。
Adobe没有透露今天的零日是如何在野外被利用的。