0x00 漏洞概述
|
CVE ID |
CVE-2021-21087 |
时 间 |
2021-03-23 |
|
类 型 |
RCE |
等 级 |
高危 |
|
远程利用 |
是 |
影响范围 |
|
|
PoC/EXP |
未公开 |
在野利用 |
是 |
0x01 漏洞详情
Adobe ColdFusion是美国Adobe公司研发的一款动态Web服务器产品,其运行的CFML(ColdFusionMarkup Language)是一种针对Web应用的脚本语言。
2021年03月22日,Adobe官方发布安全公告,公开了ColdFusion中的一个远程代码执行漏洞(CVE-2021-21087)。由于未正确验证输入,未授权的攻击者可以通过发送恶意请求来远程执行任意代码,目前该漏洞已经出现在野利用情况,但漏洞的细节尚未公开。
影响范围
Adobe ColdFusion 2016 <= Update 16
Adobe ColdFusion 2018 <= Update 10
Adobe ColdFusion 2021版本2021.0.0.323925
0x02 处置建议
目前官方已修复了此漏洞,建议及时更新至以下版本:
Adobe ColdFusion 2016 Update 17
Adobe ColdFusion 2018 Update 11
Adobe ColdFusion 2021 Update 1
手动安装更新
1.下载以下jar包。
Adobe ColdFusion 2016 Update 17
下载链接:
https://cfdownload.adobe.com/pub/adobe/coldfusion/2016/updates/hotfix-017-325979.jar
Adobe ColdFusion 2018 Update 11
下载链接:
https://cfdownload.adobe.com/pub/adobe/coldfusion/2018/updates/hotfix-011-326016.jar
Adobe ColdFusion 2021 Update 1
下载链接:
https://cfdownload.adobe.com/pub/adobe/coldfusion/2021/updates/hotfix-001-325996.jar
2.根据下载的补丁文件执行以下相应命令(必须具有启动或停止ColdFusion服务以及对ColdFusion根目录有完全访问权限。)
Windows:
基于Linux的平台:
3.确保与ColdFusion捆绑在一起的JRE用于执行下载的JAR。对于独立的ColdFusion,它必须位于
4.更多信息,请参考:
https://helpx.adobe.com/coldfusion/configuring-administering/using-the-coldfusion-administrator.html#serverupdate
0x03 参考链接
https://helpx.adobe.com/security/products/coldfusion/apsb21-16.html#Solution
https://securityaffairs.co/wordpress/115864/security/adobe-coldfusion-flaw.html?
https://helpx.adobe.com/coldfusion/kb/coldfusion-2016-update-17.html
0x04 时间线
2021-03-22 Adobe发布安全公告
2021-03-23 VSRC发布安全通告
0x05 附录
CVSS评分标准官网:http://www.first.org/cvss/
