GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全公告

Adobe ColdFusion远程代码执行缝隙（CVE-2021-21087）

颁布功夫 2021-03-23

0x00 缝隙概述

CVE ID	CVE-2021-21087	时间	2021-03-23
类型	RCE	等级	高危
远程利用	是	影响领域
PoC/EXP	未公开	在野利用	是

0x01 缝隙详情

Adobe ColdFusion是美国Adobe公司研发的一款动态Web服务器产品，其运行的CFML（ColdFusion Markup Language）是一种针对Web利用的剧本说话。

2021年03月22日，Adobe官方颁布安全布告，公开了ColdFusion中的一个远程代码执行缝隙（CVE-2021-21087）。由于未正确验证输入，未授权的攻击者能够通过发送恶意要求来远程执行肆意代码，目前该缝隙已经呈此刻野利用情况，但缝隙的细节尚未公开。

影响领域

Adobe ColdFusion 2016 <= Update 16

Adobe ColdFusion 2018 <= Update 10

Adobe ColdFusion 2021版本2021.0.0.323925

0x02 措置建议

目前官方已建复了此缝隙，建议实时更新至以下版本：

Adobe ColdFusion 2016 Update 17

Adobe ColdFusion 2018 Update 11

Adobe ColdFusion 2021 Update 1

手动装置更新

1.下载以下jar包。

Adobe ColdFusion 2016 Update 17

下载链接：

https://cfdownload.adobe.com/pub/adobe/coldfusion/2016/updates/hotfix-017-325979.jar

Adobe ColdFusion 2018 Update 11

下载链接：

https://cfdownload.adobe.com/pub/adobe/coldfusion/2018/updates/hotfix-011-326016.jar

Adobe ColdFusion 2021 Update 1

下载链接：

https://cfdownload.adobe.com/pub/adobe/coldfusion/2021/updates/hotfix-001-325996.jar

2.凭据下载的补丁文件执行以下相报号令（必须拥有启动或终场ColdFusion服务以及对ColdFusion根目录有齐全接见权限。）

Windows:

<cf_root>/jre/bin/java.exe -jar <jar-file-dir>/hotfix-017-325979.jar

<cf_root>/jre/bin/java.exe -jar <jar-file-dir>/hotfix-011-326016.jar

<cf_root>/jre/bin/java.exe -jar <jar-file-dir>/hotfix-001-325996.jar

基于Linux的平台:

<cf_root>/jre/bin/java -jar <jar-file-dir>/hotfix-017-325979.jar

<cf_root>/jre/bin/java -jar <jar-file-dir>/hotfix-011-326016.jar

<cf_root>/jre/bin/java -jar <jar-file-dir>/hotfix-001-325996.jar

3. 确保与ColdFusion绑缚在一路的JRE用于执行下载的JAR。对于独立的ColdFusion，它必须位于<cf_root>/jre/bin。

4.更多信息，请参考：

https://helpx.adobe.com/coldfusion/configuring-administering/using-the-coldfusion-administrator.html#serverupdate

0x03 参考链接

https://helpx.adobe.com/security/products/coldfusion/apsb21-16.html#Solution

https://securityaffairs.co/wordpress/115864/security/adobe-coldfusion-flaw.html?

https://helpx.adobe.com/coldfusion/kb/coldfusion-2016-update-17.html

0x04 功夫线

2021-03-22 Adobe颁布安全布告

2021-03-23 VSRC颁布安全公告

0x05 附录

CVSS评分尺度官网：http://www.first.org/cvss/

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】