Adobe发布带外更新以修补ColdFusion零日

Adobe今天发布了针对其ColdFusion开发平台的紧急带外更新，该平台修补了在野外被利用的零日漏洞。

在刚刚发出的安全公告中，Adobe将此漏洞描述为“文件上传限制绕过”，并将其评级为“严重”。

“这种攻击需要能够将可执行代码上传到Web可访问目录，然后通过HTTP请求执行该代码。限制对存储上载文件的目录的请求将减轻这种攻击，”Adobe说。

跟踪为CVE-2019-7816的零日影响了目前仍在维护的ColdFusion平台的三个版本 - ColdFusion 11,2016和2018。

Adobe发布了ColdFusion 11 Update 18，ColdFusion 2016 Update 10和ColdFusion 2018 Update 3版本来修补该漏洞。该公司表示，所有以前的版本都容易受到这种攻击。

该软件制造商本月通常的补丁日将在3月12日，与微软补丁周二同一天。

Adobe将五位研究人员归功于寻找零日--Charlie Arehart，Moshe Ruzin，Josh Ford，Jason Solarek和Bridge Catalog Team。所有这些都是ColdFusion开发人员和支持专家，而不是安全研究人员，他们通常会发现并报告积极的零日攻击。

早在11月，一个中国民族国家网络间谍组利用类似的ColdFusion文件上传漏洞来接管所有者未应用Adobe的2018年9月安全更新的易受攻击的服务器。

Adobe没有透露今天的零日是如何在野外被利用的。