Adobe今天發(fā)布了針對(duì)其ColdFusion開發(fā)平臺(tái)的緊急帶外更新，該平臺(tái)修補(bǔ)了在野外被利用的零日漏洞。

在剛剛發(fā)出的安全公告中，Adobe將此漏洞描述為“文件上傳限制繞過”，并將其評(píng)級(jí)為“嚴(yán)重”。

“這種攻擊需要能夠?qū)⒖蓤?zhí)行代碼上傳到Web可訪問目錄，然后通過HTTP請(qǐng)求執(zhí)行該代碼。限制對(duì)存儲(chǔ)上載文件的目錄的請(qǐng)求將減輕這種攻擊，”Adobe說。

跟蹤為CVE-2019-7816的零日影響了目前仍在維護(hù)的ColdFusion平臺(tái)的三個(gè)版本 - ColdFusion 11,2016和2018。

Adobe發(fā)布了ColdFusion 11 Update 18，ColdFusion 2016 Update 10和ColdFusion 2018 Update 3版本來修補(bǔ)該漏洞。該公司表示，所有以前的版本都容易受到這種攻擊。

該軟件制造商本月通常的補(bǔ)丁日將在3月12日，與微軟補(bǔ)丁周二同一天。

Adobe將五位研究人員歸功于尋找零日--Charlie Arehart，Moshe Ruzin，Josh Ford，Jason Solarek和Bridge Catalog Team。所有這些都是ColdFusion開發(fā)人員和支持專家，而不是安全研究人員，他們通常會(huì)發(fā)現(xiàn)并報(bào)告積極的零日攻擊。

早在11月，一個(gè)中國民族國家網(wǎng)絡(luò)間諜組利用類似的ColdFusion文件上傳漏洞來接管所有者未應(yīng)用Adobe的2018年9月安全更新的易受攻擊的服務(wù)器。

Adobe沒有透露今天的零日是如何在野外被利用的。