Adobe針對(duì)ColdFusion中的三個(gè)漏洞發(fā)布了安全更新。這些漏洞中的兩個(gè)被評(píng)為“嚴(yán)重”,因?yàn)樗鼈冊(cè)试S代碼執(zhí)行并且可以繞過(guò)訪問(wèn)控制�����。另一個(gè)被標(biāo)記為關(guān)鍵�����,因?yàn)樗试S信息泄露�����。
更為關(guān)鍵的問(wèn)題是代碼執(zhí)行漏洞��,因?yàn)樗赡茉试S服務(wù)器的接管����。
漏洞詳細(xì)信息如下:
| 漏洞類別 | 漏洞影響 | 嚴(yán)重 | CVE編號(hào) |
|---|
| 安全繞過(guò) | 信息披露 | 重要 | CVE-2019-8072 |
| 通過(guò)易受攻擊的組件進(jìn)行命令注入 | 任意代碼執(zhí)行 | 危急 | CVE-2019-8073 |
| 路徑遍歷漏洞 | 訪問(wèn)控制旁路 | 危急 | CVE-2019-8074 |
要解決這些漏洞,Adobe建議用戶更新到ColdFusion 2018 Update 5和ColdFusion 2016 Update 12����。
這些漏洞是通過(guò)以下方式發(fā)現(xiàn)的:
Pete Freitag / Foundeo Inc.(https://foundeo.com/)(CVE-2019-8072)
Knownsec 404團(tuán)隊(duì)的錯(cuò)誤代碼(CVE-2019-8073)
Aura信息安全部門(CVE-2019-8074)的Daniel Underhay(特別感謝Techlegalia Pty.Ltd���。的Ben Reid和Foundeo Inc.的Pete Freitag(https://foundeo.com/)為他們的調(diào)查提供了幫助問(wèn)題�����。
Knownsec和Freitag告訴BleepingComputer���,這些漏洞是通過(guò)他們自己的研究發(fā)現(xiàn)的,并未在野外發(fā)現(xiàn)���。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
