信息來源：風尚網(wǎng)

Adobe今天發(fā)布了針對其ColdFusion開發(fā)平臺的緊急帶外更新，該平臺修補了在野外被利用的零日漏洞。

在剛剛發(fā)出的安全公告中，Adobe將此漏洞描述為“文件上傳限制繞過”，并將其評級為“嚴重”。

“這種攻擊需要能夠?qū)⒖蓤?zhí)行代碼上傳到Web可訪問目錄，然后通過HTTP請求執(zhí)行該代碼。限制對存儲上載文件的目錄的請求將減輕這種攻擊，”Adobe說。

跟蹤為CVE-2019-7816的零日影響了目前仍在維護的ColdFusion平臺的三個版本 - ColdFusion 11,2016和2018。

Adobe發(fā)布了ColdFusion 11 Update 18，ColdFusion 2016 Update 10和ColdFusion 2018 Update 3版本來修補該漏洞。該公司表示，所有以前的版本都容易受到這種攻擊。

該軟件制造商本月通常的補丁日將在3月12日，與微軟補丁周二同一天。

Adobe將五位研究人員歸功于尋找零日--Charlie Arehart，Moshe Ruzin，Josh Ford，Jason Solarek和Bridge Catalog Team。所有這些都是ColdFusion開發(fā)人員和支持專家，而不是安全研究人員，他們通常會發(fā)現(xiàn)并報告積極的零日攻擊。

早在11月，一個中國民族國家網(wǎng)絡間諜組利用類似的ColdFusion文件上傳漏洞來接管所有者未應用Adobe的2018年9月安全更新的易受攻擊的服務器。

Adobe沒有透露今天的零日是如何在野外被利用的。