首页 > 安全钻研 > 安全传递 > 安全公告

Adobe ColdFusion远程代码执行缝隙安全公告

颁布功夫 2019-06-28

缝隙编号和级别

CVE编号：CVE-2019-7838，危险级别：严沉，CVSS分值：9.8

CVE编号：CVE-2019-7839，危险级别：严沉，CVSS分值：9.8

影响版本

受影响的版本

ColdFusion 2018 update 3以及之前版本
ColdFusion 2016 update 10以及之前版本

ColdFusion 11 update 18以及之前版本

缝隙概述

Adobe ColdFusion是美国奥多比（Adobe）公司的一套急剧利用法式开发平台。该平台蕴含集成开发环境和剧本说话。

Coldfusion软件中存在两个严沉远程代码执行缝隙，具体如下：

CVE-2019-7838

该缝隙为文件扩大名黑名单绕过缝隙，当文件上载目录可通过Web接见时，攻击者可能利用此缝隙进行恶意攻击，执行肆意代码。

CVE-2019-7839

JNBridge是一种集成Java和.NET利用法式代码的技术。该技术通过设计允许不受限度接见远程Java运行时的环境，从而允许执行肆意代码和系统号令。

在Windows上运行的Coldfusion服务器公开JNBridge TCP端口6093或6095上的网络侦听器。可能接见该服务的攻击者能够执行肆意操作Java代码或系统号令。默认情况下，此服务以最高权限（SYSTEM）运行。攻击者能够通过JNBridge技术不受限度地接见远程Java运行时环境，从而允许执行肆意代码和系统号令。

缝隙验证

CVE-2019-7838

暂无POC/EXP

CVE-2019-7839

EXP:https://cxsecurity.com/issue/WLB-2019060172

建复建议

目前厂商已颁布升级补丁以建复缝隙，补丁获取链接：

https://helpx.adobe.com/security/products/coldfusion/apsb19-27.html

参考链接

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201906-520
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201906-514

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

Adobe ColdFusion远程代码执行缝隙安全公告

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线