首頁 > 安全研究 > 安全通報 > 安全通告

Adobe ColdFusion遠程代碼執行漏洞(CVE-2021-21087)

發布時間 2021-03-23

0x00 漏洞概述

CVE  ID

CVE-2021-21087

時   間

2021-03-23

類   型

 RCE

等   級

高危

遠程利用

影響范圍


PoC/EXP

未公開

在野利用

 

0x01 漏洞詳情

image.png

 

Adobe ColdFusion是美國Adobe公司研發的一款動態Web服務器產品,其運行的CFML(ColdFusion Markup Language)是一種針對Web應用的腳本語言。

2021年03月22日,Adobe官方發布安全公告,公開了ColdFusion中的一個遠程代碼執行漏洞(CVE-2021-21087)。由于未正確驗證輸入,未授權的攻擊者可以通過發送惡意請求來遠程執行任意代碼,目前該漏洞已經出現在野利用情況,但漏洞的細節尚未公開。

 

影響范圍

Adobe ColdFusion 2016 <= Update 16

Adobe ColdFusion 2018 <= Update 10

Adobe ColdFusion 2021版本2021.0.0.323925

 

0x02 處置建議

目前官方已修復了此漏洞,建議及時更新至以下版本:

Adobe ColdFusion 2016 Update 17

Adobe ColdFusion 2018 Update 11

Adobe ColdFusion 2021 Update 1

 

手動安裝更新

1.下載以下jar包。

Adobe ColdFusion 2016 Update 17

下載鏈接:

https://cfdownload.adobe.com/pub/adobe/coldfusion/2016/updates/hotfix-017-325979.jar

Adobe ColdFusion 2018 Update 11

下載鏈接:

https://cfdownload.adobe.com/pub/adobe/coldfusion/2018/updates/hotfix-011-326016.jar

Adobe ColdFusion 2021 Update 1

下載鏈接:

https://cfdownload.adobe.com/pub/adobe/coldfusion/2021/updates/hotfix-001-325996.jar

 

2.根據下載的補丁文件執行以下相應命令(必須具有啟動或停止ColdFusion服務以及對ColdFusion根目錄有完全訪問權限。)

Windows:

<cf_root>/jre/bin/java.exe -jar <jar-file-dir>/hotfix-017-325979.jar

<cf_root>/jre/bin/java.exe -jar <jar-file-dir>/hotfix-011-326016.jar

<cf_root>/jre/bin/java.exe -jar <jar-file-dir>/hotfix-001-325996.jar

 

基于Linux的平臺:

<cf_root>/jre/bin/java -jar <jar-file-dir>/hotfix-017-325979.jar

<cf_root>/jre/bin/java -jar <jar-file-dir>/hotfix-011-326016.jar

<cf_root>/jre/bin/java -jar <jar-file-dir>/hotfix-001-325996.jar

3. 確保與ColdFusion捆綁在一起的JRE用于執行下載的JAR。對于獨立的ColdFusion,它必須位于<cf_root>/jre/bin。

4.更多信息,請參考:

https://helpx.adobe.com/coldfusion/configuring-administering/using-the-coldfusion-administrator.html#serverupdate

 

0x03 參考鏈接

https://helpx.adobe.com/security/products/coldfusion/apsb21-16.html#Solution

https://securityaffairs.co/wordpress/115864/security/adobe-coldfusion-flaw.html?

https://helpx.adobe.com/coldfusion/kb/coldfusion-2016-update-17.html

 

0x04 時間線

2021-03-22  Adobe發布安全公告

2021-03-23  VSRC發布安全通告

 

0x05 附錄

 

CVSS評分標準官網:http://www.first.org/cvss/

image.png

 

上一篇 下一篇