近日,adobe官方发布了针对adobe coldfusion的安全更新补丁。其中包含从coldfusion安装目录中读取任意文件的cve-2020-3761远程文件读取;以及能从webroot或者根目录包含文件实现任意代码执行的cve-2020-3794。远程攻击者可绕过身份验证,远程读取文件,或者配合文件包含,触发远程恶意代码执行。
adobe coldfusion是一个商用的快速应用程序开发平台,在1995年由jj allaire开创。coldfusion最初是为了创建能与数据库连接的网站而开发的。2.0版本(1996年推出)以后,它成为了一个全面的开发平台,包括一个集成开发环境以及功能全面的脚本语言。
漏洞影响版本包括:coldfusion 2016 update14以及更早的版本,coldfusion 2018 update8以及更早的版本
修复建议下载安装官方最新补丁:https://helpx.adobe.com/coldfusion/kb/coldfusion-2016-update-14.html;https://helpx.adobe.com/coldfusion/kb/coldfusion-2018-update-8.html
