【漏洞预警】Adobe ColdFusion 反序列化漏洞

发布时间 2018-09-13

发布时间:2018年9月13日
CVE编号:CVE-2018-15958、CVE-2018-15959
CNNVD编号:CNNVD-201809-488、CNNVD-201809-489
CNVD编号:CNVD-2018-18737、CNVD-2018-18736
漏洞来源:启明星辰ADLab


漏洞概述


2018年9月11号,Adobe官方更新了针对Adobe Coldfusion的安全更新补丁,编号为APSB18-33。补丁中包含启明星辰ADLab发现并第一时间提交给官方的两个Critical(危急)漏洞,漏洞编号分别为CVE-2018-15958、CVE-2018-15959。如下图所示:


本次漏洞为AdobeColdFusion中FlashGateway服务中的漏洞。Adobe ColdFusion的FlashGateway服务存在反序列化漏洞,未经身份验证的攻击者向目标AdobeColdFusion的FlashGateway服务发送精心构造的恶意数据,经反序列化后可远程执行任意代码。


漏洞时间轴


2018年5月22日:将漏洞详情提交给官方;
2018年8月03日:确认漏洞存在并开始着手修复;
2018年8月28日:官方将预编译补丁发给启明星辰ADLab进行漏洞复测;
2018年9月07日:经启明星辰ADLab实验室与Adobe官方反复测试沟通后确认补丁有效;
2018年9月11日:官方发布正式补丁;

影响版本


ColdFusion 11 Update 14及之前版本、2016.0 Update 6及之前版本。

漏洞验证


规避方案


 修改gateway-config.xml文件的配置,禁止EJBAdapter的使用。

升级最新补丁APSB18-33:https://helpx.adobe.com/security/products/coldfusion/apsb18-33.html