- cnnvd编号:未知
- 危害等级: 超危
- cve编号:cve-2021-21087
- 漏洞类型: 远程代码执行
- 威胁类型:远程
- 厂 商:未知
- 漏洞来源:深信服
- 发布时间:2021-04-06
- 更新时间:2021-04-06
漏洞简介
1、组件介绍
adobe coldfusion(直译:冷聚变),是一个动态web服务器,其cfml(coldfusion markup language)是一种程序设计语言,类似现在的jsp里的jstl(jsp standard tag lib),从1995年开始开发,其设计思想先进,被一些语言所借鉴。
coldfusion 最早是由 allaire 公司开发的一种应用服务器平台,其运行的 cfml(coldfusion markup language)是针对web应用的一种脚本语言。*.cfm为文件名,在coldfusion专用的应用服务器环境下运行。allaire 公司被 macromedia 公司收购以后,推出了 macromedia coldfusion 5.0,与其他的应用程序语言相似,cfm文件被编译器翻译为对应的 c ,运行并向浏览器返回结果。虽然 .cfc 和 custom tag 具有类似的重用性,但 cfc 提供了更加灵活的调用方式,如 webservice 。
macromedia已经被adobe并购,所以coldfusion亦成为adobe旗下产品。
2、漏洞描述
2021年3月23日,深信服安全团队监测到adobe官方发布了一则漏洞安全通告,通告披露了adobe coldfusion组件存在远程代码执行漏洞,漏洞编号:cve-2021-21087,漏洞危害:严重。该漏洞由于输入过滤不严,攻击者可利用该漏洞在未授权情况下,构造恶意数据造成远程代码执行攻击,最终可获取服务器最高权限。
漏洞公示
如何检测组件系统版本
(1)登陆之后前端访问/cfide/administrator/index.cfm
查看system inforamtion
(2) 在adobe coldfusion安装目录的bin目录下执行cfinfo -version(info)命令查看版本
参考网站
受影响实体
adobe coldfusion是一个动态web服务器,其设计思想先进,被一些语言所借鉴,在全球范围内对互联网开放的资产数量达数万台,中国大陆省份主要分布在北京、辽宁,上海等地。
目前受影响的adobe coldfusion版本:
adobe coldfusion 2021 <= version 2021.0.0.323925
adobe coldfusion 2018 <= update 10
adobe coldfusion 2016 <= update 16
补丁
官方修复建议
当前官方已发布受影响版本的对应补丁,建议受影响的用户及时更新官方的安全补丁。链接如下:
adobe coldfusion 2021:
https://cfdownload.adobe.com/pub/adobe/coldfusion/2021/updates/hotfix-001-325996.jar
adobe coldfusion 2018:
https://cfdownload.adobe.com/pub/adobe/coldfusion/2018/updates/hotfix-011-326016.jar
adobe coldfusion 2016:
https://cfdownload.adobe.com/pub/adobe/coldfusion/2016/updates/hotfix-017-325979.jar
打补丁方法:
使用coldfusion自带的jre来运行下载的jar文件,运行命令如下:
windows下执行:
<cf_root>/jre/bin/java.exe -jar <jar-file-dir>/hotfix-*.jarlinux下执行:
<cf_root>/jre/bin/java -jar <jar-file-dir>/hotfix-*.jar