首页 > 清静研究 > 清静转达 > 清静通告

Adobe ColdFusion远程代码执行误差清静通告

宣布时间 2019-06-28

误差编号和级别

CVE编号：CVE-2019-7838，，，，，危险级别：严重，，，，，CVSS分值：9.8

CVE编号：CVE-2019-7839，，，，，危险级别：严重，，，，，CVSS分值：9.8

影响版本

受影响的版本

ColdFusion 2018 update 3以及之前版本
ColdFusion 2016 update 10以及之前版本

ColdFusion 11 update 18以及之前版本

误差概述

Adobe ColdFusion是美国奥多比（Adobe）公司的一套快速应用程序开发平台。。。。。。该平台包括集成开发情形和剧本语言。。。。。。

Coldfusion软件中保存两个严重远程代码执行误差，，，，，详细如下：

CVE-2019-7838

该误差为文件扩展名黑名单绕过误差，，，，，当文件上载目录可通过Web会见时，，，，，攻击者可能使用此误差举行恶意攻击，，，，，执行恣意代码。。。。。。

CVE-2019-7839

JNBridge是一种集成Java和.NET应用程序代码的手艺。。。。。。该手艺通过设计允许不受限制会见远程Java运行时的情形，，，，，从而允许执行恣意代码和系统下令。。。。。。

在Windows上运行的Coldfusion效劳器果真JNBridge TCP端口6093或6095上的网络侦听器。。。。。。能够会见该效劳的攻击者可以执行恣意操作Java代码或系统下令。。。。。。默认情形下，，，，，此效劳以最高权限（SYSTEM）运行。。。。。。攻击者可以通过JNBridge手艺不受限制地会见远程Java运行时情形，，，，，从而允许执行恣意代码和系统下令。。。。。。

误差验证

CVE-2019-7838

暂无POC/EXP

CVE-2019-7839

EXP:https://cxsecurity.com/issue/WLB-2019060172

修复建议

现在厂商已宣布升级补丁以修复误差，，，，，补丁获取链接：

https://helpx.adobe.com/security/products/coldfusion/apsb19-27.html

参考链接

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201906-520
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201906-514

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

凯发k8

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系凯发k8

清静研究

Adobe ColdFusion远程代码执行误差清静通告

关于凯发k8

解决计划

清静研究

联系凯发k8

7*24小时效劳热线