Adobe paralajmëron për gabimin kritik të ColdFusion me kodin e shfrytëzimit PoC
Adobe ka lëshuar përditësime të sigurisë jashtë brezit për të adresuar një cenueshmëri kritike të ColdFusion me kodin e shfrytëzimit të provës së konceptit (PoC).
Në një këshillë të lëshuar të hënën, kompania thotë se defekti (i gjurmuar si CVE-2024-53961) është shkaktuar nga një dobësi e kalimit të rrugës që ndikon në versionet e Adobe ColdFusion 2023 dhe 2021 dhe mund t’u mundësojë sulmuesve të lexojnë skedarë arbitrarë në serverë të cenueshëm.
“Adobe është i vetëdijshëm se CVE-2024-53961 ka një provë të njohur të konceptit që mund të shkaktojë një lexim arbitrar të sistemit të skedarëve,” tha Adobe sot, ndërsa paralajmëroi gjithashtu klientët se i caktoi një vlerësim të ashpërsisë “Prioriteti 1” për defektin sepse ai ka një “një rrezik më të lartë për t’u shënjestruar, nga shfrytëzimi(et) në natyrë për një version dhe platformë të caktuar produkti.”
Kompania këshillon administratorët që të instalojnë arnimet e sigurisë së urgjencës së sotme (ColdFusion 2021 Update 18 dhe ColdFusion 2023 Update 12) sa më shpejt të jetë e mundur, “për shembull, brenda 72 orëve” dhe të aplikojnë cilësimet e konfigurimit të sigurisë të përshkruara në udhëzuesit ColdFusion 2023 dhe ColdFusion 202021down.
Ndërsa Adobe ende nuk ka bërë të ditur nëse kjo dobësi është shfrytëzuar në natyrë, ajo këshilloi klientët sot të rishikojnë dokumentacionin e përditësuar të filtrit serial për më shumë informacion mbi bllokimin e sulmeve të pasigurta të deserializimit Wddx.
Siç paralajmëroi CISA në maj kur u kërkoi kompanive të softuerëve që të eliminojnë gabimet e sigurisë në kalimin e rrugëve përpara se të dërgojnë produktet e tyre, sulmuesit mund të shfrytëzojnë dobësi të tilla për të hyrë në të dhëna të ndjeshme, duke përfshirë kredencialet që mund të përdoren për të detyruar llogaritë tashmë ekzistuese dhe për të shkelur sistemet e një objektivi.
Dobësitë si kalimi i drejtorive janë quajtur ‘të pafalshme’ që të paktën që nga viti 2007. Pavarësisht nga ky konstatim, dobësitë e kalimit të drejtorive (të tilla si CWE-22 dhe CWE-23) janë ende klasa të përhapura të cenueshmërisë,” tha CISA.
Vitin e kaluar, në korrik 2023, CISA urdhëroi gjithashtu agjencitë federale të sigurojnë serverët e tyre Adobe ColdFusion deri më 10 gusht kundër dy të metave kritike të sigurisë ( CVE-2023-29298 dhe CVE-2023-38205 ) të shfrytëzuara në sulme, njëra prej tyre si zero- ditë.
Agjencia amerikane e sigurisë kibernetike zbuloi gjithashtu një vit më parë se hakerët kishin përdorur një dobësi tjetër kritike të ColdFusion (CVE-2023-26360) për të shkelur serverët e vjetëruar të qeverisë që nga qershori 2023. E njëjta e metë ishte shfrytëzuar në mënyrë aktive në “sulme shumë të kufizuara” si zero. -ditë që nga marsi 2023.