Adobe разработала срочные обновления безопасности для решения основной проблемы ColdFusion, которая сопровождалась кодом эксплойта PoC. Компания обнаружила уязвимость, получившую обозначение CVE-2024-53961. Это затрагивает Adobe ColdFusion версий 2023 и 2021, как указано в предупреждении, опубликованном в понедельник. Эта уязвимость позволит злоумышленникам получить доступ к произвольным файлам на скомпрометированных серверах.
В заявлении компании упоминается: «Adobe признает, что CVE-2024-53961 имеет установленную проверку концепции, которая может облегчить несанкционированный доступ к файловой системе». Они также предупредили пользователей, что уязвимости присвоен «Приоритет 1» из-за повышенного риска стать объектом активных эксплойтов для конкретных версий продуктов и платформ.
Adobe рекомендует администраторам устанавливать аварийные исправления безопасности, такие как ColdFusion 2021 Update 18 и ColdFusion 2023 Update 12, как можно скорее, желательно в течение 72 часов. Будут реализованы варианты конфигурации безопасности, описанные в руководствах по блокировке для ColdFusion 2021 и 2023.
Хотя Abode не подтвердил, активно ли эксплуатировалась эта уязвимость; он призвал клиентов обновить документацию по последовательному фильтру, чтобы получить рекомендации по предотвращению небезопасных атак десериализации Wddx.
В мае CISA уже предупреждала об опасности уязвимостей, связанных с обходом пути. В нем подчеркивается, что злоумышленники могут использовать такие уязвимости для получения доступа к конфиденциальной информации, такой как учетные данные, которые могут быть использованы для компрометации существующих учетных записей и проникновения в целевые системы.
CISA отметила: «Такие уязвимости, как обход каталогов, называются «непростительными» по крайней мере с 2007 года. Тем не менее, несмотря на давнюю осведомленность об этом, уязвимости обхода каталогов (такие как CWE-22 и CWE-23) продолжают оставаться распространенной проблемой». CISA (сертифицированный аудитор информационных систем) также обязал в июле 2023 года федеральные агентства обеспечить безопасность своих серверов Adobe ColdFusion к 10 августа. против двух критических уязвимостей CVE-2023-29298 и CV-2023-38205, которые использовались злоумышленниками в ходе атак.