Adobe发布带外更新以修补ColdFusion零日

	3月6日消息，Adobe ColdFusion Web应用程序被发现0Day漏洞，该漏洞允许任意代码执行操作目前已在野外被利用。 据悉，此次安全问题允许攻击者绕过上传文件的限制。为了利用它，对手必须能够将可执行代码上传到web服务 器上的文件目录中。Adobe在其安全公告中说，代码可以通过HTTP请求执行，当前更新的ColdFusion版本都会受 到漏洞(CVE-2019-7816)的影响，而不管它们的平台是什么。 负责报告漏洞的独立顾问Charlie Arehart称：“该漏洞发现在一名客户的个人电脑主机中熟练的攻击者将能够连 接Adobe安全公告中的“点”，并找到一种利用该故障的方法。” 但是，这名顾问并没有透漏黑客如何利用这一漏洞进行攻击的详细细节。他称：“我担心这些信息可能被未 打补丁的服务器上的其他威胁行为者使用，当下让人们实现这个修复是至关重要的。” 得到报告后，Adobe在几天内发布紧急预警，修复了该平台的这一关键漏洞。目前，防止漏洞攻击有两 种方案：直接更新到该软件的最新版本（目前尚不支持）或者为存储上传文件的目录请求创建限制开发 人员还应该按照Adobe Coldfusion指南的建议修改代码，以禁用可执行扩展，并自行检查列表。 ColdFusion是一个动态Web服务器，其CFML（ColdFusion Markup Language）是一种程序设计语言，类似现在的J avaServer Page里的JSTL（JSP Standard Tag Lib）。ColdFusion最早由Allaire 公司开发完成，在Allaire公司被 Ma cromedia公司收购以后推出了Macromedia ColdFusion 5.0，类似于其他的应用程序语言, cfm文件被编译器翻译为 对应的 c++ 语言程序，然后运行并向浏览器返回结果。