Adobe ColdFusion多个漏洞通告
- CNNVD编号:未知
- 危害等级: 高危
- CVE编号:未知
- 漏洞类型: 未知
- 威胁类型:未知
- 厂 商:未知
- 漏洞来源:深信服
- 发布时间:2023-03-24
- 更新时间:2023-03-24
漏洞简介
近日,深信服安全团队监测到一则 Adobe 官方发布安全补丁的通告,共修复了 3 个安全漏洞,其中包含 2 个严重漏洞的信息。
高危漏洞描述
Adobe ColdFusion 反序列化远程命令执行漏洞 (CVE-2023-26359)
该漏洞是由于 ColdFusion 允许对不受信任的数据进行反序列化导致。攻击者可利用该漏洞在未授权的情况下,构造恶意数据进行远程代码执行攻击,最终可以在服务器上执行任意命令。
Adobe ColdFusion 访问控制不当远程命令执行漏洞 (CVE-2023-26360)
该漏洞是由于 ColdFusion 对用户的访问控制校验不当导致,攻击者可利用该漏洞在未授权的情况下,构造恶意数据进行远程命令执行攻击,最终可以在服务器上执行任意命令。
漏洞公示
暂无
参考网站
https://helpx.adobe.com/security/products/coldfusion/apsb23-25.html
受影响实体
目前受影响的 Adobe ColdFusion 版本:
ColdFusion 2018 ≤ Update 15
ColdFusion 2021 ≤ Update 5
补丁
解决方案
如何检测组件版本
登陆 Adobe ColdFusion 管理员后台,点击 “System Information” 按钮即可查看版本号。
官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://helpx.adobe.com/coldfusion/kb/coldfusion-2018-update-16.html
https://helpx.adobe.com/coldfusion/kb/coldfusion-2021-update-6.html
深信服解决方案
1.风险资产发现
支持对 Adobe ColdFusion 的主动检测,可批量检出业务场景中该事件的受影响资产情况,相关产品如下:
【深信服主机安全检测响应平台 CWPP】已发布资产检测方案。
【深信服云镜 YJ】已发布资产检测方案。
