Adobe ColdFusion远程代码执行漏洞安全通告
发布时间 2019-06-28漏洞编号和级别
CVE编号:CVE-2019-7839,危险级别:严重,CVSS分值:9.8
影响版本
受影响的版本
ColdFusion 2016 update 10以及之前版本
ColdFusion 11 update 18以及之前版本
漏洞概述
Adobe ColdFusion是美国奥多比(Adobe)公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。
Coldfusion软件中存在两个严重远程代码执行漏洞,具体如下:
CVE-2019-7838
该漏洞为文件扩展名黑名单绕过漏洞,当文件上载目录可通过Web访问时,攻击者可能利用此漏洞进行恶意攻击,执行任意代码。
CVE-2019-7839
JNBridge是一种集成Java和.NET应用程序代码的技术。该技术通过设计允许不受限制访问远程Java运行时的环境,从而允许执行任意代码和系统命令。
在Windows上运行的Coldfusion服务器公开JNBridge TCP端口6093或6095上的网络侦听器。能够访问该服务的攻击者可以执行任意操作Java代码或系统命令。默认情况下,此服务以最高权限(SYSTEM)运行。攻击者可以通过JNBridge技术不受限制地访问远程Java运行时环境,从而允许执行任意代码和系统命令。
漏洞验证
CVE-2019-7838
暂无POC/EXP
CVE-2019-7839
EXP:https://cxsecurity.com/issue/WLB-2019060172
修复建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://helpx.adobe.com/security/products/coldfusion/apsb19-27.html
参考链接
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201906-514
京公网安备11010802024551号