【原創漏洞】Adobe ColdFusion 任意文件讀取和任意文件包含漏洞通告
發布時間 2020-03-20漏洞概述
2020年3月18日,Adobe官方發布針對Adobe Coldfusion的安全更新補丁,編號為APSB20-16。補丁中包含啟明星辰ADLab發現并第一時間提交給官方的Critical(危急)漏洞,Adobe ColdFusion 任意文件讀?。–VE-2020-3761)和任意文件包含(CVE-2020-3794)漏洞。如下圖所示:
本次漏洞與Adobe ColdFusion的AJP connectors相關。Adobe ColdFusion在處理AJP協議的數據包時存在實現缺陷,導致相關參數可控。攻擊者可通過向目標發送精心構造的AJP協議數據包讀取目標服務器wwwroot目錄下的任意文件,也可將目標服務器wwwroot及其子目錄下的任意文件當作jsp文件來解釋執行。若目標服務器下的文件可控,可進一步實現遠程代碼執行。
漏洞時間軸
2020年3月2日,ADLab將漏洞詳情提交給Adobe官方;
2020年3月3日,Adobe官方確認漏洞存在并開始著手修復;
2020年3月18日,Adobe官方發布安全補丁。
受影響版本
ColdFusion 2016 Update13及之前版本
ColdFusion 2018 Update7及之前版本
漏洞利用
測試環境:Adobe ColdFusion 2018
漏洞利用效果:
1、wwwroot目錄下任意文件讀取
2、wwwroot目錄及其子目錄下任意文件包含
規避方案
升級最新補丁APSB20-16:https://helpx.adobe.com/security/products/coldfusion/apsb20-16.html