近日，Adobe Coldfusion官方修复了Coldfusion软件中存在的一个远程代码执行漏洞，漏洞编号：CVE-2019-7839，该漏洞评分10分，漏洞等级严重，该漏洞影响范围较广，危害性较大，攻击者可以通过JNBridge技术不受限制地访问远程Java运行时环境，从而允许执行任意代码和系统命令。

Adobe ColdFusion，是一个动态Web服务器，其CFML（ColdFusion Markup Language）是一种程序设计语言，类似现在的JSP里的JSTL（JSP Standard Tag Lib），从1995年开始开发，其设计思想被一些人认为非常先进，被一些语言所借鉴。

Coldfusion 最早是由 Allaire 公司开发的一种应用服务器平台，其运行的 CFML（ColdFusion Markup Language）针对Web应用的一种脚本语言。文件以*.cfm为文件名，在ColdFusion专用的应用服务器环境下运行。在 Allaire 公司被 Macromedia 公司收购以后，推出了 Macromedia ColdFusion 5.0，类似于其他的应用程序语言，cfm文件被编译器翻译为对应的 c++ 语言程序，然后运行并向浏览器返回结果。虽然 .cfc 和 custom tag 具有类似的重用性，但 cfc 提供了更加灵活的调用方式，例如 webservice 方式的调用支持。

Macromedia已经被Adobe并购，所以ColdFusion亦成为Adobe旗下产品。

JNBridge是一种集成Java和.NET应用程序代码的技术。该技术通过设计允许不受限制访问远程Java运行时的环境，从而允许执行任意代码和系统命令。

Adobe Coldfusion是一个Web应用程序开发平台。在Windows上运行的Coldfusion服务器公开JNBridge TCP端口6093或6095上的网络侦听器。能够访问该服务的攻击者可以执行任意操作Java代码或系统命令。默认情况下，此服务以最高权限（SYSTEM）运行。

目前据FOFA数据统计，在全球范围内对互联网开放Coldfusion的资产数量达61973台，其中归属中国地区的受影响Coldfusion资产数量为4000余台以上。

影响产品：

ColdFusion 2018 update 3以及之前版本

ColdFusion 2016 update 10以及之前版本

ColdFusion 11 update 18以及之前版本

Coldfusion官方已经发布了安全更新补丁，补丁下载地址：

https://helpx.adobe.com/security/products/coldfusion/apsb19-27.html

该漏洞尚未公开此攻击细节，深信服千里目安全实验室将持续关注此次漏洞进展，最快速度给出完整的解决方案。

https://packetstormsecurity.com/files/153439/Coldfusion-JNBridge-Remote-Code-Execution.html