【原創漏洞】Adobe ColdFusion 任意文件讀取和任意文件包含漏洞通告

發布時間 2020-03-20

漏洞概述


2020年3月18日,Adobe官方發布針對Adobe Coldfusion的安全更新補丁,編號為APSB20-16。補丁中包含啟明星辰ADLab發現并第一時間提交給官方的Critical(危急)漏洞,Adobe ColdFusion 任意文件讀?。–VE-2020-3761)和任意文件包含(CVE-2020-3794)漏洞。如下圖所示:



本次漏洞與Adobe ColdFusion的AJP connectors相關。Adobe ColdFusion在處理AJP協議的數據包時存在實現缺陷,導致相關參數可控。攻擊者可通過向目標發送精心構造的AJP協議數據包讀取目標服務器wwwroot目錄下的任意文件,也可將目標服務器wwwroot及其子目錄下的任意文件當作jsp文件來解釋執行。若目標服務器下的文件可控,可進一步實現遠程代碼執行。


漏洞時間軸


2020年3月2日,ADLab將漏洞詳情提交給Adobe官方;

2020年3月3日,Adobe官方確認漏洞存在并開始著手修復;

2020年3月18日,Adobe官方發布安全補丁。


受影響版本


ColdFusion 2016 Update13及之前版本

ColdFusion 2018 Update7及之前版本


漏洞利用


測試環境:Adobe ColdFusion 2018


漏洞利用效果:


1、wwwroot目錄下任意文件讀取



2、wwwroot目錄及其子目錄下任意文件包含



規避方案


升級最新補丁APSB20-16:https://helpx.adobe.com/security/products/coldfusion/apsb20-16.html