正在阅读：Adobe公布带外更新以修补ColdFusion零日Adobe公布带外更新以修补ColdFusion零日

　　【PConline资讯】3月3日消息，AdobeColdFusionWeb应用程序被发现0Day漏洞，该漏洞允许任意代码执行操作，目前已在野外被利用。

　　据悉，此次安全问题允许攻击者绕过上传文件的限制。为了利用它，对手必须能够将可执行代码上传到web服务器上的文件目录中。Adobe在其安全公告中说，代码可以通过HTTP请求执行，当前更新的ColdFusion版本都会受到漏洞(CVE-2019-7816)的影响，而不管它们的平台是什么。

　　负责报告漏洞的独立顾问CharlieArehart称：“该漏洞发现在一名客户的个人电脑主机中，熟练的攻击者将能够连接Adobe安全公告中的“点”，并找到一种利用该故障的方法。”

　　但是，这名顾问并没有透漏黑客如何利用这一漏洞进行攻击的详细细节。他称：“我担心这些信息可能被未打补丁的服务器上的其他威胁行为者使用，当下让人们实现这个修复是至关重要的。”

　　得到报告后，Adobe在几天内发布紧急预警，修复了该平台的这一关键漏洞。目前，防止漏洞攻击有两种方案：直接更新到该软件的最新版本（目前尚不支持）或者为存储上传文件的目录请求创建限制。开发人员还应该按照AdobeColdfusion指南的建议修改代码，以禁用可执行扩展，并自行检查列表。

　　ColdFusion是一个动态Web服务器，其CFML（ColdFusionMarkupLanguage）是一种程序设计语言，类似现在的JavaServerPage里的JSTL（JSPStandardTagLib）。ColdFusion最早由Allaire公司开发完成，在Allaire公司被Macromedia公司收购以后推出了MacromediaColdFusion5.0，类似于其他的应用程序语言,cfm文件被编译器翻译为对应的c++语言程序，然后运行并向浏览器返回结果。