Adobe今天发布了紧急更新，修复了ColdFusion Web应用程序开发平台的关键漏洞。该错误可导致任意代码执行，并已在野外被利用。

安全问题允许攻击者绕过上传文件的限制。要利用它，攻击者必须能够将可执行代码上载到Web服务器上的文件目录。

Adobe在其安全公告中称，该代码可以通过HTTP请求执行。

Adobe 发布预警

Adobe has released security updates for ColdFusion versions 2018, 2016 and 11. These updates resolve a critical vulnerability that could lead to arbitrary code execution in the context of the running ColdFusion service.   

Adobe is aware of a report that CVE-2019-7816 has been exploited in the wild.  

影响版本

ColdFusion 2018

ColdFusion 2016

ColdFusion 11

解决方案，查看链接并更新

935K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Z5k6h3I4H3P5q4)9J5k6h3q4V1L8$3u0W2i4K6u0W2j5$3!0E0i4K6u0r3M7$3g2U0N6i4u0A6N6s2W2Q4x3V1k6H3M7X3!0V1N6h3y4@1M7#2)9J5c8X3y4G2L8r3c8X3N6i4y4A6L8$3&6Q4x3V1k6S2M7s2y4T1x3e0W2Q4x3X3b7I4y4q4)9J5k6h3S2@1L8h3H3`.

ColdFusion介绍

ColdFusion（直译：冷聚变），是一个动态Web服务器，其CFML（ColdFusion Markup Language）是一种程序设计语言，类似现在的JavaServer Page里的JSTL（JSP Standard Tag Lib），从1995年开始开发，其设计思想被一些人认为非常先进，被一些语言所借鉴。

Coldfusion 最早是由 Allaire 公司开发的一种应用服务器平台，其运行的 CFML（ColdFusion Markup Language） 针对Web应用的一种脚本语言。文件以*.cfm为文件名，在ColdFusion专用的应用服务器环境下运行。在 Allaire 公司被 Macromedia 公司收购以后,推出了 Macromedia ColdFusion 5.0，类似于其他的应用程序语言, cfm文件被编译器翻译为对应的 c++ 语言程序，然后运行并向浏览器返回结果。

自Macromedia接收Allaire公司后，把原来基于C++开发的ColdFusion改为基于JRun的J2EE平台的一个Web Application（JRun也是Allaire公司的一个J2EE服务器产品），并正式推出 Macromedia ColdFusion MX 6.0 版本,此时的cfm运行原理就和java非常的类似，cfm文件被应用服务器编译为对应的 java 代码并编译成 .class 文件在 jvm 虚拟机上运行。从此ColdFusion完全从一个功能齐全的动态Web服务器转变为一个J2EE应用服务器。同时依旧保留了原有版本的所有特性。

ColdFusion 的页面后缀通常为.cfm，同时 Macromeida 公司在发布 ColdFusion MX 的时候借鉴于 java 面向对象设计风格，设置了 .cfc 这样的 ColdFusion 文件后缀，他们被称作 ColdFusion Components [CFM组件]。 cfc 文件就好比一组 cfm function 的集合，使对应的代码具有高度的可重用性。虽然 .cfc 和 custom tag 具有类似的重用性，但 cfc 提供了更加灵活的调用方式，例如 webservice 方式的调用支持。

CFM 并不等同于 ColdFusion。 CFM 是一种标志语言，而 ColdFusion 是一种应用服务器环境。对于标准的语法结构的 cfm,cfc 文件，它们不仅仅可以运行在 Macromedia ColdFusion 服务器上，同样的也可以直接在BlueDragon服务器环境下。

来源：黑鸟

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课