新闻中心
详情
2020年3月18日,Adobe官方发布针对Adobe ColdFusion的安全更新补丁,编号为APSB20-16。补丁中包含2个Critical(危急)漏洞,Adobe ColdFusion 任意文件读取漏洞(CVE-2020-3761)和任意文件包含漏洞(CVE-2020-3794)。
本次漏洞与Adobe ColdFusion的AJP connectors相关。Adobe ColdFusion在处理AJP协议的数据包时存在实现缺陷,导致相关参数可控。攻击者可通过向目标发送精心构造的AJP协议数据包读取目标服务器wwwroot目录下的任意文件,也可将目标服务器wwwroot及其子目录下的任意文件当作jsp文件来解释执行。若目标服务器下的文件可控,可进一步实现远程代码执行。
Adobe官方补丁下载链接:
升级最新补丁APSB20-16:
https://helpx.adobe.com/security/products/coldfusion/apsb20-16.html
网御星云产品解决方案
1.漏洞扫描:
网御漏洞扫描系统V6.0于2020年3月19日紧急发布针对该漏洞的升级包,支持对该漏洞进行检测,用户升级网御漏洞扫描系统漏洞库后即可对该漏洞进行扫描。升级包为607000279,升级包下载地址:
http://www.leadsec.com.cn/companyfile/23/
请网御漏洞扫描系统V6.0产品的用户尽快升级到最新版本,及时对该漏洞进行检测,以便尽快采取防范措施。
2.产品检测与防护
由于这两个漏洞与上个月爆出的TOMCAT漏洞类似,同为AJP协议实现存在缺陷导致的参数可控,故已部署网御IDS、IPS、WAF产品的客户无需升级即可有效的检测或者阻断攻击。
请相关用户提高警惕,尽快采取防范措施,及时根据上述方案做好相应检测,确保网络安全。
扫二维码用手机看
上一个:
线上招聘季 | 网御星云安全服务中心
下一个:
线上招聘季 | 网御星云西藏站
上一个:
线上招聘季 | 网御星云安全服务中心
下一个:
线上招聘季 | 网御星云西藏站
北京网御星云信息技术有限公司 京ICP备05080314号-1
400-810-7766
成为伙伴 
视频中心 