アドビ、ColdFusionのクリティカルな脆弱性（CVE-2019-7816）に対する定例外のセキュリティ情報を公開

March 1, 2019 • 1 Min Read
by Satnam Narang
Blog Home / Cyber Exposure Alerts

アドビはセキュリティ速報 APSB19-14 で実際に悪用されているファイルアップロード制限をバイパスする脆弱性に対処するセキュリティアップデートを公開しました。

背景

3月1日、アドビは ColdFusion のクリティカルな脆弱性（CVE-2019-7816）に対する定例外のセキュリティ速報、APSB19-14を公開しました。影響を受けるバージョンには、ColdFusion Update 2以前、ColdFusion 2016 Update 9以前、およびColdFusion 11 Update 17以前が含まれています。

分析

このセキュリティ速報は、ファイルアップロード制限をバイパスする脆弱性CVE-2019-7816に関する情報を公開しています。攻撃者はこの脆弱性を悪用し、「実行中のColdFusionサービスのコンテキストで」任意のコードを実行する可能性があります。アドビは、この脆弱性が実際に悪用されていることについて報告されていると発表しています。

攻撃者はこの脆弱性を悪用し、悪意のあるファイルを一般にアクセス可能なディレクトリにアップロードし、その後そのファイルをリモートで実行する可能性があります。

ソリューション

アドビは、この脆弱性に対処するために、Cold Fusion 2018、2016、および11の以下のセキュリティアップデートを公開しました。

Tenableは、早急にこれらのバージョンのColdFusionにアップグレードすることをお勧めします。

また、ユーザーがアップロードされたファイルを含むディレクトリにHTTP要求をすることを防ぐために設定を変更することをお勧めします。

影響を受けているシステムの特定

この脆弱性を特定するための Nessus プラグイン一覧は、リリースされる度にこちらに表示されます。

詳細情報

ColdFusionのセキュリティアップデート公開 [APSB19-14]

Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。

現代のアタックサーフェスを総合的に管理する Cyber Exposure Platform を初めて提供した Tenable について詳細情報をご覧ください。

今すぐ Tenable.io Vulnerability Management の60日間無料トライアルをお試しください。

Tenable に 2018 年に入社した Satnam は、業界で 15 年以上の経歴があり (M86 Security、Symantec)、フィッシング対策協議会のメンバーとして、全米サイバーセキュリティアライアンス (NCSA) の「SNS ガイド」の編纂に寄与したほか、Twitter では巨大なスパムのボットネットを発見し、Tinderでもスパムボットを最初に報告するなど広く活動してきました。NBC テレビの Nightly News、Entertainment Tonight、また Bloomberg West や、Why Oh Why ポッドキャストに出演しています。

プライベートの時間には... 詩作に励み、ヒップホップも作曲します。音楽は生で聴くのが好きで、3人の姪との時間が楽しみ。フットボールやバスケットボール、ボリウッド映画や音楽、グログー (ベビーヨーダ) がお気に入りです。

Microsoft’s November 2024 Patch Tuesday Addresses 87 CVEs (CVE-2024-43451, CVE-2024-49039)

November 12, 2024

Microsoft addresses 87 CVEs and one advisory (ADV240001) in its November 2024 Patch Tuesday release, with four critical vulnerabilities and four zero-day vulnerabilities, including two that were exploited in the wild.

Tenable Security Response Team

Cybersecurity Snapshot: CISA Warns of Global Spear-Phishing Threat, While OWASP Releases AI Security Resources

November 8, 2024

CISA is warning about a spear-phishing campaign that spreads malicious RDP files. Plus, OWASP is offering guidance about deepfakes and AI security. Meanwhile, cybercriminals have amplified their use of malware for fake software-update attacks. And get the latest on CISA’s international plan, Interpol’s cyber crackdown and ransomware trends.

Juan Perez

Context Is King: From Vulnerability Management to Exposure Management

November 7, 2024

Vulnerability management remains a cornerstone of preventive cybersecurity, but organizations still struggle with vulnerability overload and sophisticated threats. Tenable’s new Exposure Signals gives security teams comprehensive context, so they can shift from vulnerability management to exposure management and effectively prioritize high-risk exposures across their complex attack surface.

Nicholas Weeks

Threat Intelligence
Threat Management
Vulnerability Management
Vulnerability Scanning

Tenable One サイバーエクスポージャー管理プラットフォーム

プラットフォームのカテゴリ

プラットフォームの機能

クラウドのエクスポージャー

脆弱性のエクスポージャー

OT/IoT のエクスポージャー

Tenable アイデンティティエクスポージャー

ビジネスニーズ

業種

コンプライアンス

公共事業

リソース

リサーチ

パートナーを検索

Tenable Assure パートナー

テクノロジーパートナー

サポート

サービス

Tenable の信頼

会社概要

採用情報

Tenable が選ばれる理由

メディア

つながる

Tenable ブログ

アドビ、ColdFusionのクリティカルな脆弱性（CVE-2019-7816）に対する定例外のセキュリティ情報を公開

背景

分析

ソリューション

影響を受けているシステムの特定

詳細情報

Satnam Narang

関連記事

アドビ、ColdFusionのクリティカルな脆弱性（CVE-2019-7816）に対する定例外のセキュリティ情報を公開

背景

分析

ソリューション

影響を受けているシステムの特定

詳細情報

Satnam Narang

関連記事

Cybersecurity Snapshot: Guide Unpacks Event-Logging Best Practices, as FAA Proposes Stronger Cyber Rules for Airplanes

Detecting Risky Third-party Drivers on Windows Assets

Never Trust User Inputs -- And AI Isn't an Exception: A Security-First Approach

Microsoft’s November 2024 Patch Tuesday Addresses 87 CVEs (CVE-2024-43451, CVE-2024-49039)

Cybersecurity Snapshot: CISA Warns of Global Spear-Phishing Threat, While OWASP Releases AI Security Resources

Context Is King: From Vulnerability Management to Exposure Management

役立つサイバーセキュリティ関連のニュース

ブログ通知配信登録ありがとうございました!

Tenable Vulnerability Management

Tenable Vulnerability Management

ありがとうございます

Tenable Vulnerability Management

Tenable Vulnerability Management

ご清聴ありがとうございました

Tenable Vulnerability Management

Tenable Vulnerability Management

ご清聴ありがとうございました

Tenable Web App Scanning をお試しください

Tenable Web App Scanning を購入

ご清聴ありがとうございました

Tenable Lumin を試用する

Tenable Lumin を購入する

ご清聴ありがとうございました

Tenable Security Center のデモを申し込む

Tenable OT Security のデモを申し込む

Tenable Identity Exposure のデモをリクエスト

Tenable Cloud Security のデモを申請

Tenable One を実際にご覧ください

実際の Tenable Attack Surface Management を見る

Tenable Enclave Security のデモを予約する

ありがとうございます

無料で Tenable Nessus Professional を試す

新 - Tenable Nessus Expert 利用可能に

Tenable Nessus Professional を購入

無料で Tenable Nessus Expert を試す

Tenable Nessus Expert を購入

Tenable の脆弱性管理ツールが SLCGP サイバーセキュリティプラン要件の達成にどのように貢献しているかをご確認ください

Tenable One
を実際にご覧ください

新 - Tenable Nessus Expert
利用可能に