漏洞预警Adobe ColdFusion 反序列化漏洞

Posted 2021-04-18 智为信息

漏洞概述

2018年9月11号，Adobe官方更新了针对Adobe Coldfusion的安全更新补丁，编号为APSB18-33。补丁中包含智为信息发现并第一时间提交给官方的两个Critical（危急）漏洞，漏洞编号分别为CVE-2018-15958、CVE-2018-15959。如下图所示：

本次漏洞为AdobeColdFusion中FlashGateway服务中的漏洞。Adobe ColdFusion的FlashGateway服务存在反序列化漏洞，未经身份验证的攻击者向目标AdobeColdFusion的FlashGateway服务发送精心构造的恶意数据，经反序列化后可远程执行任意代码。

◆◆

漏洞编号

发布时间：2018年9月13日

CVE编号：CVE-2018-15958、CVE-2018-15959

CNNVD编号：CNNVD-201809-488、CNNVD-201809-489

CNVD编号：CNVD-2018-18737、CNVD-2018-18736

◆◆

影响版本

ColdFusion 11 Update 14及之前版本、2016.0 Update 6及之前版本。

◆◆

漏洞时间线

2018年5月22日：将漏洞详情提交给官方；

2018年8月03日：确认漏洞存在并开始着手修复；

2018年8月28日：官方将预编译补丁发给智为云WAF进行漏洞复测；

2018年9月11日：官方发布正式补丁；

◆◆

漏洞验证

◆◆

防御方案

•  修改gateway-config.xml文件的配置，禁止EJBAdapter的使用。

• 升级最新补丁APSB18-33：https://helpx.adobe.com/security/products/coldfusion/apsb18-33.html

▼

长沙市智为信息技术有限公司（以下简称智为信息），国际领先的网络安全产品及服务提供商，成立于2008年，以“服务创造价值”的理念立足于网络安全领域。今天，智为信息已经成长为一家以抗拒绝服务攻击、及洪水攻击防御方向的专业信息安全研发和服务机构。十年来，公司一直秉着“专而精”的工作信念，坚持专攻网络信息安全领域的研究。

——   END   ——