漏洞名称
:
Adobe ColdFusion 远程代码执行漏洞 CVE-2021-21087
组件名称
: Adobe ColdFusion
威胁等级
:
严重
影响范围
:
Adobe ColdFusion 2021 <= Version 2021.0.0.323925
Adobe ColdFusion 2018 <= Update 10
Adobe ColdFusion 2016 <= Update 16
漏洞类型
:
远程代码执行
利用条件
:
1、用户认证:不需要用户认证
2、触发方式:远程
综合评价
:
:容易,无需授权即可远程代码执行。
:严重,能造成远程代码执行。
Adobe ColdFusion(直译:冷聚变),是一个动态Web服务器,其CFML(ColdFusion Markup Language)是一种程序设计语言,类似现在的JSP里的JSTL(JSP Standard Tag Lib),从1995年开始开发,其设计思想先进,被一些语言所借鉴。
Coldfusion 最早是由 Allaire 公司开发的一种应用服务器平台,其运行的 CFML(ColdFusion Markup Language)是针对Web应用的一种脚本语言。*.cfm为文件名,在ColdFusion专用的应用服务器环境下运行。Allaire 公司被 Macromedia 公司收购以后,推出了 Macromedia ColdFusion 5.0,与其他的应用程序语言相似,cfm文件被编译器翻译为对应的 c++ ,运行并向浏览器返回结果。虽然 .cfc 和 custom tag 具有类似的重用性,但 cfc 提供了更加灵活的调用方式,如 webservice 。
Macromedia已经被Adobe并购,所以ColdFusion亦成为Adobe旗下产品。
2021年3月23日,深信服安全团队监测到Adobe官方发布了一则漏洞安全通告,通告披露了Adobe ColdFusion组件存在远程代码执行漏洞,漏洞编号:CVE-2021-21087,漏洞危害:严重。该漏洞由于输入过滤不严,攻击者可利用该漏洞在未授权情况下,构造恶意数据造成远程代码执行攻击,最终可获取服务器最高权限。
Adobe ColdFusion是一个动态Web服务器,其设计思想先进,被一些语言所借鉴,在全球范围内对互联网开放的资产数量达数万台,中国大陆省份主要分布在北京、辽宁,上海等地。
目前受影响的Adobe ColdFusion版本:
Adobe ColdFusion 2021 <= Version 2021.0.0.323925
Adobe ColdFusion 2018 <= Update 10
Adobe ColdFusion 2016 <= Update 16
(1)登陆之后前端访问/CFIDE/administrator/index.cfm
查看system inforamtion
(2) 在Adobe ColdFusion安装目录的bin目录下执行cfinfo -version(info)命令查看版本
当前官方已发布受影响版本的对应补丁,建议受影响的用户及时更新官方的安全补丁。链接如下:
Adobe ColdFusion 2021:
https://cfdownload.adobe.com/pub/adobe/coldfusion/2021/updates/hotfix-001-325996.jar
Adobe ColdFusion 2018:
https://cfdownload.adobe.com/pub/adobe/coldfusion/2018/updates/hotfix-011-326016.jar
Adobe ColdFusion 2016:
https://cfdownload.adobe.com/pub/adobe/coldfusion/2016/updates/hotfix-017-325979.jar
打补丁方法:
使用ColdFusion自带的JRE来运行下载的JAR文件,运行命令如下:
Windows下执行:
<cf_root>/jre/bin/java.exe -jar <jar-file-dir>/hotfix-*.jar
Linux下执行:
<cf_root>/jre/bin/java -jar <jar-file-dir>/hotfix-*.jar
