一、漏洞概述

1、简介

Adobe ColdFusion[1] 是一个商用的快速开发平台。它可以作为一个开发平台使用，也可以提供Flash 远程服务或者作为 Adobe Flex 应用的后台服务器 。

2019 年 3 月5 日，Adobe  发布安全公告[2]，披露  Adobe ColdFusion 存在JAVA  反序列化漏洞(CVE-2019-7091)。

2019 年 3 月14 日，Seebug 平台收录了该漏洞[3],知道创宇 404 漏洞应急团队开始对该漏洞进行漏洞应急。

2、影响版本

• ColdFusion11 Update 15 及之前版本
• ColdFusion2016 Update 7 及之前版本
• ColdFusion2018 Update 1 及之前版本。

二、漏洞复现

1、复现环境

 ColdFusion 11 Update 10

2、复现过程及结果

1、修改 gateway-config.xml文件的配置，开启 JavaBeanAdapter 的使用，保存，重启ColdFsuion 服务器。

2、向服务器发送payload

3、目标服务器上文件创建成功。

三、漏洞影响

根据 ZoomEye 网络空间搜索引擎对 "coldfusion" 关键词的搜索结果[4]，共找到 83042 条历史记录。

四、防护方案

1、ColdFusion 官方已经发布补丁修复了该漏洞，相关用户可尽快升级。

• ColdFusion2018 版本用户升级到ColdFusion 2018 Update 2
• ColdFusion2016 版本用户升级到ColdFusion 2016 Update 8
• ColdFusion2011 版本用户升级到ColdFusion 2011 Update16

2、修改gateway-config.xml 文件的配置，禁止JavaBeanAdapter 的使用。

3、使用第三方防火墙进行防护(如创宇盾[https://www.yunaq.com/cyd/])

4、技术业务咨询

    知道创宇技术业务咨询热线 :

    400-060-9587(政府，国有企业)、028-68360638(互联网企业)