Adobe heeft out-of-band beveiligingsupdates uitgebracht om een kritieke ColdFusion-kwetsbaarheid aan te pakken met proof-of-concept (PoC) exploitcode.
In een advies dat maandag werd vrijgegeven, zegt het bedrijf dat de fout (bijgehouden als CVE-2024-53961) wordt veroorzaakt door een pad doorlopen zwakte die gevolgen heeft voor Adobe ColdFusion versies 2023 en 2021 en die aanvallers in staat kan stellen willekeurige bestanden op kwetsbare servers te lezen.
« Adobe is zich ervan bewust dat CVE-2024-53961 een bekend proof-of-concept heeft dat ertoe kan leiden dat een willekeurig bestandssysteem wordt gelezen », zegt Adobe zei vandaagterwijl het klanten ook waarschuwde dat het de ernstgraad « Prioriteit 1 » aan de fout heeft toegekend, omdat het « een hoger risico loopt om het doelwit te worden van exploit(s) in het wild voor een bepaalde productversie en platform. »
Het bedrijf adviseert beheerders om de huidige noodbeveiligingspatches (ColdFusion 2021 Update 18 en ColdFusion 2023 Update 12) zo snel mogelijk te installeren, ‘bijvoorbeeld binnen 72 uur’, en de beveiligingsconfiguratie-instellingen toe te passen die worden beschreven in de ColdFusion 2023 En ColdFusion 2021 lockdown-gidsen.
Hoewel Adobe nog niet bekend heeft gemaakt of dit beveiligingslek in het wild is misbruikt, heeft het klanten vandaag geadviseerd dit te doen bekijk de bijgewerkte seriële filterdocumentatie voor meer informatie over het blokkeren van onveilige Wddx-deserialisatieaanvallen.
De CISA waarschuwde in mei Toen het er bij softwarebedrijven op aandrong beveiligingsbugs op te lossen voordat ze hun producten op de markt brachten, kunnen aanvallers dergelijke kwetsbaarheden misbruiken om toegang te krijgen tot gevoelige gegevens, waaronder inloggegevens die kunnen worden gebruikt om reeds bestaande accounts bruut te forceren en de systemen van een doelwit te binnendringen.
« Kwetsbaarheden zoals het doorzoeken van directory’s worden al sinds 2007 ‘onvergeeflijk’ genoemd. Ondanks deze bevinding zijn kwetsbaarheden bij het doorzoeken van directory’s (zoals CWE-22 en CWE-23) nog steeds een veel voorkomende kwetsbaarheidscategorie », aldus CISA.
Vorig jaar, in juli 2023, gaf CISA ook federale instanties de opdracht om hun Adobe ColdFusion-servers vóór 10 augustus te beveiligen tegen twee kritieke beveiligingsfouten (CVE-2023-29298 En CVE-2023-38205) uitgebuit bij aanvallen, waarvan één als zero-day.
Het Amerikaanse cybersecuritybureau maakte een jaar geleden ook bekend dat hackers gebruik hadden gemaakt van een andere kritieke ColdFusion-kwetsbaarheid (CVE-2023-26360). om verouderde overheidsservers te doorbreken sinds juni 2023. Hetzelfde gebrek was er geweest actief uitgebuit in « zeer beperkte aanvallen » als een nuldag sinds maart 2023.
