近日，Adobe官方发布了针对Adobe Coldfusion的安全更新补丁。其中包含从Coldfusion安装目录中读取任意文件的CVE-2020-3761远程文件读取；以及能从webroot或者根目录包含文件实现任意代码执行的CVE-2020-3794。远程攻击者可绕过身份验证，远程读取文件，或者配合文件包含，触发远程恶意代码执行。

Adobe ColdFusion是一个商用的快速应用程序开发平台，在1995年由JJ Allaire开创。ColdFusion最初是为了创建能与数据库连接的网站而开发的。2.0版本（1996年推出）以后，它成为了一个全面的开发平台，包括一个集成开发环境以及功能全面的脚本语言。

漏洞影响版本包括：ColdFusion 2016 Update14以及更早的版本，ColdFusion 2018 Update8以及更早的版本

修复建议下载安装官方最新补丁：https://helpx.adobe.com/coldfusion/kb/coldfusion-2016-update-14.html；https://helpx.adobe.com/coldfusion/kb/coldfusion-2018-update-8.html