【漏洞预警】Coldfusion 远程代码执行漏洞(CVE-2019-7839)
  

SANGFOR_智安全 20681人觉得有帮助

{{ttag.title}}
近日,Adobe Coldfusion官方修复了Coldfusion软件中存在的一个远程代码执行漏洞,漏洞编号:CVE-2019-7839,该漏洞评分10分,漏洞等级严重,该漏洞影响范围较广,危害性较大,攻击者可以通过JNBridge技术不受限制地访问远程Java运行时环境,从而允许执行任意代码和系统命令
漏洞名称:Coldfusion 远程代码执行漏洞(CVE-2019-7839)
威胁等级:高危
影响范围:  
ColdFusion 2018 update 3以及之前版本
ColdFusion 2016 update 10以及之前版本
ColdFusion 11 update 18以及之前版本
漏洞类型:远程代码执行
利用难度:简单




Coldfusion组件介绍

Adobe ColdFusion,是一个动态Web服务器,其CFML(ColdFusion Markup Language)是一种程序设计语言,类似现在的JSP里的JSTL(JSP Standard Tag Lib),从1995年开始开发,其设计思想被一些人认为非常先进,被一些语言所借鉴。

Coldfusion 最早是由 Allaire 公司开发的一种应用服务器平台,其运行的 CFML(ColdFusion Markup Language)针对Web应用的一种脚本语言。文件以*.cfm为文件名,在ColdFusion专用的应用服务器环境下运行。在 Allaire 公司被 Macromedia 公司收购以后,推出了 Macromedia ColdFusion 5.0,类似于其他的应用程序语言,cfm文件被编译器翻译为对应的 c++ 语言程序,然后运行并向浏览器返回结果。虽然 .cfc 和 custom tag 具有类似的重用性,但 cfc 提供了更加灵活的调用方式,例如 webservice 方式的调用支持。

Macromedia已经被Adobe并购,所以ColdFusion亦成为Adobe旗下产品。

漏洞描述

JNBridge是一种集成Java和.NET应用程序代码的技术。该技术通过设计允许不受限制访问远程Java运行时的环境,从而允许执行任意代码和系统命令。

Adobe Coldfusion是一个Web应用程序开发平台。在Windows上运行的Coldfusion服务器公开JNBridge TCP端口6093或6095上的网络侦听器。能够访问该服务的攻击者可以执行任意操作Java代码或系统命令。默认情况下,此服务以最高权限(SYSTEM)运行。
影响范围

目前据FOFA数据统计,在全球范围内对互联网开放Coldfusion的资产数量达61973台,其中归属中国地区的受影响Coldfusion资产数量为4000余台以上

影响产品:
ColdFusion 2018 update 3以及之前版本
ColdFusion 2016 update 10以及之前版本
ColdFusion 11 update 18以及之前版本


修复建议

Coldfusion官方已经发布了安全更新补丁,补丁下载地址:
https://helpx.adobe.com/security/products/coldfusion/apsb19-27.html

某公司解决方案

该漏洞尚未公开此攻击细节,某公司千里目安全实验室将持续关注此次漏洞进展,最快速度给出完整的解决方案。

参考链接

https://packetstormsecurity.com/files/153439/Coldfusion-JNBridge-Remote-Code-Execution.html

时间轴

2019/06/11
Adobe官方发布安全补丁,修复部分已知漏洞
2019/06/24
Adobe官方修复的漏洞部分详情被公布
2019/06/27  
CVE-2019-7839漏洞部分详情被公布
2019/06/28  
某公司千里目安全实验室发布预警





打赏鼓励作者,期待更多好文!

打赏
1人已打赏

一个无趣的人 发表于 2022-6-5 11:48
  
楼主分析的很详细,不错的实战经验,小白用户一看就懂,非常好的技术干货帖,顶一个!
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
每周精选
干货满满
技术咨询
标准化排查
产品连连看
信服课堂视频
自助服务平台操作指引
新版本体验
秒懂零信任
安装部署配置
GIF动图学习
功能体验
玩转零信任
通用技术
2023技术争霸赛专题
技术晨报
社区帮助指南
安全攻防
每日一记
深信服技术支持平台
天逸直播
华北区交付直播
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版达人

SANGFOR...

本周分享达人