• 我的位置:
  • 首頁
  • -
  • 漏洞預(yù)警
  • -
  • 其他
  • -
    • Adobe ColdFusion 遠(yuǎn)程代碼執(zhí)行漏洞
    • CNNVD編號(hào):未知
    • 危害等級(jí): 超危 
    • CVE編號(hào):CVE-2021-21087
    • 漏洞類型: 遠(yuǎn)程代碼執(zhí)行
    • 威脅類型:遠(yuǎn)程
    • 廠       商:未知
    • 漏洞來源:深信服
    • 發(fā)布時(shí)間:2021-04-06
    • 更新時(shí)間:2021-04-06

    漏洞簡(jiǎn)介

    1、組件介紹

    Adobe ColdFusion(直譯:冷聚變),是一個(gè)動(dòng)態(tài)Web服務(wù)器,其CFML(ColdFusion Markup Language)是一種程序設(shè)計(jì)語言,類似現(xiàn)在的JSP里的JSTL(JSP Standard Tag Lib),從1995年開始開發(fā),其設(shè)計(jì)思想先進(jìn),被一些語言所借鑒。

    Coldfusion 最早是由 Allaire 公司開發(fā)的一種應(yīng)用服務(wù)器平臺(tái),其運(yùn)行的 CFML(ColdFusion Markup Language)是針對(duì)Web應(yīng)用的一種腳本語言。*.cfm為文件名,在ColdFusion專用的應(yīng)用服務(wù)器環(huán)境下運(yùn)行。Allaire 公司被 Macromedia 公司收購以后,推出了 Macromedia ColdFusion 5.0,與其他的應(yīng)用程序語言相似,cfm文件被編譯器翻譯為對(duì)應(yīng)的 c++ ,運(yùn)行并向?yàn)g覽器返回結(jié)果。雖然 .cfc 和 custom tag 具有類似的重用性,但 cfc 提供了更加靈活的調(diào)用方式,如 webservice 。

    Macromedia已經(jīng)被Adobe并購,所以ColdFusion亦成為Adobe旗下產(chǎn)品。

    2、漏洞描述

    2021年3月23日,深信服安全團(tuán)隊(duì)監(jiān)測(cè)到Adobe官方發(fā)布了一則漏洞安全通告,通告披露了Adobe ColdFusion組件存在遠(yuǎn)程代碼執(zhí)行漏洞,漏洞編號(hào):CVE-2021-21087,漏洞危害:嚴(yán)重。該漏洞由于輸入過濾不嚴(yán),攻擊者可利用該漏洞在未授權(quán)情況下,構(gòu)造惡意數(shù)據(jù)造成遠(yuǎn)程代碼執(zhí)行攻擊,最終可獲取服務(wù)器最高權(quán)限。

    漏洞公示

    如何檢測(cè)組件系統(tǒng)版本

    (1)登陸之后前端訪問/CFIDE/administrator/index.cfm    

    查看system inforamtion


    (2) 在Adobe ColdFusion安裝目錄的bin目錄下執(zhí)行cfinfo -version(info)命令查看版本

    參考網(wǎng)站

    暫無

    受影響實(shí)體

    Adobe ColdFusion是一個(gè)動(dòng)態(tài)Web服務(wù)器,其設(shè)計(jì)思想先進(jìn),被一些語言所借鑒,在全球范圍內(nèi)對(duì)互聯(lián)網(wǎng)開放的資產(chǎn)數(shù)量達(dá)數(shù)萬臺(tái),中國(guó)大陸省份主要分布在北京、遼寧,上海等地。


    目前受影響的Adobe ColdFusion版本:

    Adobe ColdFusion 2021 <= Version 2021.0.0.323925

    Adobe ColdFusion 2018 <= Update 10

    Adobe ColdFusion 2016 <= Update 16

    補(bǔ)丁

    官方修復(fù)建議

    當(dāng)前官方已發(fā)布受影響版本的對(duì)應(yīng)補(bǔ)丁,建議受影響的用戶及時(shí)更新官方的安全補(bǔ)丁。鏈接如下:

    Adobe ColdFusion 2021:

    https://cfdownload.adobe.com/pub/adobe/coldfusion/2021/updates/hotfix-001-325996.jar

    Adobe ColdFusion 2018:

    https://cfdownload.adobe.com/pub/adobe/coldfusion/2018/updates/hotfix-011-326016.jar

    Adobe ColdFusion 2016:

    https://cfdownload.adobe.com/pub/adobe/coldfusion/2016/updates/hotfix-017-325979.jar


    打補(bǔ)丁方法:

    使用ColdFusion自帶的JRE來運(yùn)行下載的JAR文件,運(yùn)行命令如下:

    Windows下執(zhí)行:

    <cf_root>/jre/bin/java.exe -jar <jar-file-dir>/hotfix-*.jar

    Linux下執(zhí)行:

    <cf_root>/jre/bin/java -jar <jar-file-dir>/hotfix-*.jar