Adobe ColdFusion 任意文件读取和任意文件包含漏洞,澳门浦京娱乐场提供解决方案

发布时间 2020-03-20

3月18日,Adobe官方发布针对Adobe Coldfusion的安全更新补丁,编号为APSB20-16。补丁中包含澳门浦京娱乐场ADLab发现并第一时间提交给官方的Critical(危急)漏洞:Adobe ColdFusion 任意文件读取漏洞(CVE-2020-3761)和任意文件包含漏洞(CVE-2020-3794)。


本次漏洞与Adobe ColdFusion的AJP connectors相关。Adobe ColdFusion在处理AJP协议的数据包时存在实现缺陷,导致相关参数可控。攻击者可通过向目标发送精心构造的AJP协议数据包读取目标服务器wwwroot目录下的任意文件,也可将目标服务器wwwroot及其子目录下的任意文件当作jsp文件来说明实行。若目标服务器下的文件可控,可进一步实现远程代码实行。


解决方案


? 升级最新补丁APSB20-16

https://helpx.adobe.com/security/products/coldfusion/apsb20-16.html


? 漏洞扫描


澳门浦京娱乐场天镜脆弱性扫描与管理系统V6.0于2020年3月19日紧急发布针对该漏洞的升级包,支撑对该漏洞进行检测,用户升级天镜漏扫产品漏洞库后即可对该漏洞进行扫描。


6070版本升级包为607000279,升级包下载地址:

/article/type/1/146.html


请天镜脆弱性扫描与管理系统V6.0产品的用户尽快升级到最新版本,及时对该漏洞进行检测,以便尽快采取防范措施。



? 产品检测与防护


由于以上两个漏洞与TOMCAT漏洞类似,同为AJP协议实现存在缺陷导致的参数可控,故已部署澳门浦京娱乐场IDS、IPS、WAF产品的客户无需升级即可有效检测或阻断攻击。