Adobe предупреждает о критическом недостатке ColdFusion с использованием PoC-эксплойта
Adobe выпустила внешнее обновление безопасности для устранения критической уязвимости ColdFusion, код эксплойта которой имеет общедоступный код проверки концепции (PoC).
Уязвимость, определенная как CVE-2024-53961 (оценка CVSS: 7,4), возникает из-за ошибки обхода пути, которая затрагивает версии Adobe ColdFusion 2023 (обновление 11 и более ранние версии) и 2021 (обновление 17 и более ранние версии).
В случае использования этой уязвимости злоумышленники могут получить несанкционированный доступ к произвольным файлам на скомпрометированных серверах, потенциально подвергая риску данные.
«Злоумышленник может воспользоваться этой уязвимостью для доступа к файлам или каталогам, которые находятся за пределами каталога с ограниченным доступом, установленного приложением. Это может привести к раскрытию конфиденциальной информации или манипулированию системными данными», — заявили в компании. Рекомендации НИСТ читает.
Для тех, кто не знает, ColdFusion — это сервер приложений и язык веб-программирования, который облегчает создание динамических веб-страниц, обеспечивая связь с серверными системами на основе пользовательского ввода, запросов к базе данных или других критериев.
«Adobe осознает, что CVE-2024-53961 имеет известное доказательство концепции, которое может привести к чтению произвольной файловой системы», — говорится в сообщении Adobe. консультативный выпущен в понедельник.
Adobe присвоила уязвимости рейтинг серьезности «Приоритет 1», наивысший возможный уровень, из-за «более высокого риска стать жертвой эксплойтов в дикой природе для данной версии продукта и платформы».
Компания выпустила экстренные исправления безопасности (ColdFusion 2021 Update 18 и ColdFusion 2023 Update 12). Пользователям рекомендовано установить эти исправления «в течение 72 часов», чтобы снизить любые потенциальные риски безопасности, связанные с этим критическим недостатком.
Кроме того, Adobe предложила пользователям применять параметры конфигурации безопасности, подробно описанные в КолдФьюжн 2023 и КолдФьюжн 2021 руководства по блокировке.
Хотя Adobe еще не подтвердила активное использование уязвимости, она призвала пользователей просмотреть обновленную версию. документация по последовательному фильтру для защиты от небезопасных атак десериализации WDDX.