×

【漏洞预警】Coldfusion 远程代码执行漏洞(CVE-2019-7839)
  

SANGFOR_智安全 33491人觉得有帮助

{{ttag.title}}
近日,Adobe Coldfusion官方修复了Coldfusion软件中存在的一个远程代码执行漏洞,漏洞编号:CVE-2019-7839,该漏洞评分10分,漏洞等级严重,该漏洞影响范围较广,危害性较大,攻击者可以通过JNBridge技术不受限制地访问远程Java运行时环境,从而允许执行任意代码和系统命令
漏洞名称:Coldfusion 远程代码执行漏洞(CVE-2019-7839)
威胁等级:高危
影响范围:  
ColdFusion 2018 update 3以及之前版本
ColdFusion 2016 update 10以及之前版本
ColdFusion 11 update 18以及之前版本
漏洞类型:远程代码执行
利用难度:简单




Coldfusion组件介绍

Adobe ColdFusion,是一个动态Web服务器,其CFML(ColdFusion Markup Language)是一种程序设计语言,类似现在的JSP里的JSTL(JSP Standard Tag Lib),从1995年开始开发,其设计思想被一些人认为非常先进,被一些语言所借鉴。

Coldfusion 最早是由 Allaire 公司开发的一种应用服务器平台,其运行的 CFML(ColdFusion Markup Language)针对Web应用的一种脚本语言。文件以*.cfm为文件名,在ColdFusion专用的应用服务器环境下运行。在 Allaire 公司被 Macromedia 公司收购以后,推出了 Macromedia ColdFusion 5.0,类似于其他的应用程序语言,cfm文件被编译器翻译为对应的 c++ 语言程序,然后运行并向浏览器返回结果。虽然 .cfc 和 custom tag 具有类似的重用性,但 cfc 提供了更加灵活的调用方式,例如 webservice 方式的调用支持。

Macromedia已经被Adobe并购,所以ColdFusion亦成为Adobe旗下产品。

漏洞描述

JNBridge是一种集成Java和.NET应用程序代码的技术。该技术通过设计允许不受限制访问远程Java运行时的环境,从而允许执行任意代码和系统命令。

Adobe Coldfusion是一个Web应用程序开发平台。在Windows上运行的Coldfusion服务器公开JNBridge TCP端口6093或6095上的网络侦听器。能够访问该服务的攻击者可以执行任意操作Java代码或系统命令。默认情况下,此服务以最高权限(SYSTEM)运行。
影响范围

目前据FOFA数据统计,在全球范围内对互联网开放Coldfusion的资产数量达61973台,其中归属中国地区的受影响Coldfusion资产数量为4000余台以上

影响产品:
ColdFusion 2018 update 3以及之前版本
ColdFusion 2016 update 10以及之前版本
ColdFusion 11 update 18以及之前版本


修复建议

Coldfusion官方已经发布了安全更新补丁,补丁下载地址:
https://helpx.adobe.com/security/products/coldfusion/apsb19-27.html

某公司解决方案

该漏洞尚未公开此攻击细节,某公司千里目安全实验室将持续关注此次漏洞进展,最快速度给出完整的解决方案。

参考链接

https://packetstormsecurity.com/files/153439/Coldfusion-JNBridge-Remote-Code-Execution.html

时间轴

2019/06/11
Adobe官方发布安全补丁,修复部分已知漏洞
2019/06/24
Adobe官方修复的漏洞部分详情被公布
2019/06/27  
CVE-2019-7839漏洞部分详情被公布
2019/06/28  
某公司千里目安全实验室发布预警





打赏鼓励作者,期待更多好文!

打赏
1人已打赏

一个无趣的人 发表于 2022-6-5 11:48
  
楼主分析的很详细,不错的实战经验,小白用户一看就懂,非常好的技术干货帖,顶一个!
发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
技术笔记
干货满满
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
自助服务平台操作指引
标准化排查
秒懂零信任
技术晨报
安装部署配置
原创分享
排障笔记本
玩转零信任
排障那些事
SDP百科
技术争霸赛
深信服技术支持平台
通用技术
以战代练
升级&主动服务
社区新周刊
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版达人

SANGFOR...

本周分享达人