Adobe于3月1日紧急修补已遭黑客开采的ColdFusion安全漏洞,ColdFusion为一商用的快速网络应用程序开发平台,该编号为CVE-2019-7816的安全漏洞将允许黑客执行任意程序,被列为重大(Critical)等级,Adobe呼呼吁用户应尽快修补。
根据Adobe的说明,该漏洞允许黑客绕过上传文件的限制,将执行档上传到网络服务器上的文件目录,再通过HTTP请求执行恶意文件。
该漏洞影响ColdFusion 11、ColdFusion 2016与ColdFusion 2018。 Adobe例行性的安全更新进程与微软一致,为每个月的第二个周二,3月的修补日期应为3月12日,但由于这是个远程攻击漏洞,且已被黑客利用,促使Adobe紧急提前发布更新。
无法立即更新的用户,可限制对上传文件存储目录的请求,以降低攻击威胁。