梦入神机,盗墓笔记,古风小说

我的位置：

Adobe ColdFusion多個漏洞通告

漏洞簡介

近日，深信服安全團隊監(jiān)測到一則 Adobe 官方發(fā)布安全補丁的通告，共修復了 3 個安全漏洞，其中包含 2 個嚴重漏洞的信息。

高危漏洞描述

Adobe ColdFusion 反序列化遠程命令執(zhí)行漏洞（CVE-2023-26359）

該漏洞是由于 ColdFusion 允許對不受信任的數(shù)據(jù)進行反序列化導致。攻擊者可利用該漏洞在未授權的情況下，構造惡意數(shù)據(jù)進行遠程代碼執(zhí)行攻擊，最終可以在服務器上執(zhí)行任意命令。

Adobe ColdFusion 訪問控制不當遠程命令執(zhí)行漏洞（CVE-2023-26360）

該漏洞是由于 ColdFusion 對用戶的訪問控制校驗不當導致，攻擊者可利用該漏洞在未授權的情況下，構造惡意數(shù)據(jù)進行遠程命令執(zhí)行攻擊，最終可以在服務器上執(zhí)行任意命令。

暫無

https://helpx.adobe.com/security/products/coldfusion/apsb23-25.html

目前受影響的 Adobe ColdFusion 版本：

ColdFusion 2018 ≤ Update 15

ColdFusion 2021 ≤ Update 5

解決方案

如何檢測組件版本

登陸 Adobe ColdFusion 管理員后臺，點擊 “System Information” 按鈕即可查看版本號。

官方修復建議

當前官方已發(fā)布最新版本，建議受影響的用戶及時更新升級到最新版本。鏈接如下：

https://helpx.adobe.com/coldfusion/kb/coldfusion-2018-update-16.html

https://helpx.adobe.com/coldfusion/kb/coldfusion-2021-update-6.html

深信服解決方案

1.風險資產(chǎn)發(fā)現(xiàn)

支持對 Adobe ColdFusion 的主動檢測，可批量檢出業(yè)務場景中該事件的受影響資產(chǎn)情況，相關產(chǎn)品如下：

【深信服主機安全檢測響應平臺 CWPP】已發(fā)布資產(chǎn)檢測方案。

【深信服云鏡 YJ】已發(fā)布資產(chǎn)檢測方案。