漏洞背景 2020年3月18日,Adobe官方推出针对Adobe ColdFusion的安全更新补丁,编号为:APSB20-16.,补丁中包含了两个漏洞CVE-2020-3761(任意文件读取漏洞)和CVE-2020-3794(任意文件包含漏洞)。 2020年3月18日,Adobe官方推出针对Adobe ColdFusion的安全更新补丁,编号为:APSB20-16.,补丁中包含了两个漏洞CVE-2020-3761(任意文件读取漏洞)和CVE-2020-3794(任意文件包含漏洞),经捷普攻防实验室,验证测试发现漏洞真实存在,该漏洞相关信息可参考CVE-2020-1938 (Tomcat-Ajp协议任意文件读取漏洞&文件包含漏洞)。 漏洞描述 此次漏洞与CVE-2020-1938漏洞原因一致与Adobe ColdFusion的AJP connectors相关。Adobe ColdFusion在处理AJP协议的数据包时存在实现缺陷,导致相关参数可控。构造特定的数据包,进行测试发送即可。影响版本ColdFusion 2016 ColdFusion 2018 防御建议使用捷普网络脆弱性智能评估系统(NVAS)对漏洞进行检测。缓解措施升级补丁,参考Adobe官网发布的补丁进行升级:https://helpx.adobe.com/security/products/coldfusion/apsb20-16.html备注:(在管理控制台内也可完成对其升级操作)。参考:https://helpx.adobe.com/security/products/coldfusion/apsb20-16.html
发布时间:
2020
-
03
-
23