Adobe ColdFusion 任意文件读取和任意文件包含漏洞风险提示
近日,WebRAY安全服务部发现Adobe官方发布了针对Adobe Coldfusion的安全更新补丁,与Adobe ColdFusion 任意文件读取漏洞(CVE-2020-3761)和任意文件包含漏洞 (CVE-2020-3794)有关。Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品,可作为商用的快速应用程序开发平台。该漏洞中,未授权的远程攻击者发送精心构造的AJP协议数据包,通过文件读取漏洞(CVE-2020-3761)可读取wwwroot目录下任意文件,配合文件包含漏洞(CVE-2020-3794),从而触发远程代码执行。WebRAY安全服务部将持续关注该漏洞进展,并将第一时间为您更新该漏洞信息。
漏洞概述
未授权的远程攻击者通过文件读取漏洞(CVE-2020-3761)可读取wwwroot目录下任意文件,配合文件包含漏洞(CVE-2020-3794),从而触发远程代码执行。
漏洞基本信息
产生原因 | 未对用户输入内容进行严格校验 |
影响范围 | ColdFusion <= 2016 Update13 ColdFusion <= 2018 Update7 |
漏洞ID | CVE-2020-3761,CVE-2020-3794 |
分类 | 任意文件读取,任意文件包含 |
漏洞等级
WebRAY安全服务部风险评级:高危
修复建议
目前官方已修复并发布最新补丁,链接地址:https://helpx.adobe.com/security/products/coldfusion/apsb20-16.html