Adobe ColdFusion 反序列化漏洞
发布时间 2018-09-13CVE编号:CVE-2018-15958、CVE-2018-15959
CNNVD编号:CNNVD-201809-488、CNNVD-201809-489
CNVD编号:CNVD-2018-18737、CNVD-2018-18736
漏洞来源:启明星辰ADLab
漏洞概述
本次漏洞为AdobeColdFusion中FlashGateway服务中的漏洞。Adobe ColdFusion的FlashGateway服务存在反序列化漏洞,未经身份验证的攻击者向目标AdobeColdFusion的FlashGateway服务发送精心构造的恶意数据,经反序列化后可远程执行任意代码。
漏洞时间轴
2018年8月03日:确认漏洞存在并开始着手修复;
2018年8月28日:官方将预编译补丁发给启明星辰ADLab进行漏洞复测;
2018年9月07日:经启明星辰ADLab实验室与Adobe官方反复测试沟通后确认补丁有效;
2018年9月11日:官方发布正式补丁;
影响版本
漏洞验证
规避方案
修改gateway-config.xml文件的配置,禁止EJBAdapter的使用。
升级最新补丁APSB18-33:https://helpx.adobe.com/security/products/coldfusion/apsb18-33.html