【漏洞通告】Adobe ColdFusion访问控制不当漏洞（CVE-2023-26360）

Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品。

3月15日，启明星辰VSRC监测到Adobe发布 ColdFusion安全更新，修复了ColdFusion 2018和2021中的多个安全漏洞，目前这些漏洞的细节暂未公开，如下：

CVE-2023-26360：Adobe ColdFusion访问控制不当漏洞（高危）

Adobe ColdFusion 2018和2021存在访问控制不当漏洞，其CVSSv3评分为8.6，可在未经身份验证的情况下利用该漏洞执行任意代码，而无需用户交互。目前该漏洞已检测到在野利用。

CVE-2023-26359：Adobe ColdFusion反序列化漏洞（严重）

Adobe ColdFusion 2018和2021存在不可信数据的反序列化漏洞，其CVSSv3评分为9.8，可在未经身份验证和无需用户交互的情况下利用该漏洞执行任意代码。

CVE-2023-26361：Adobe ColdFusion路径遍历漏洞（低危）

Adobe ColdFusion 2018和2021存在路径遍历漏洞，其CVSSv3评分为4.9，可在拥有高权限的情况下利用该漏洞导致内存泄漏。

二、影响范围

Adobe ColdFusion 2018 <= Update 15

Adobe ColdFusion 2021 <= Update 5

注：这些漏洞也影响了ColdFusion 2016 和ColdFusion 11，但这些版本已经停止支持，Adobe将不再为其提供安全更新。

三、安全措施

3.1 升级版本

目前这些漏洞已经修复，受影响用户可升级到以下版本：

Adobe ColdFusion 2018：更新到Update 16

下载链接：

https://helpx.adobe.com/coldfusion/kb/coldfusion-2018-update-16.html

Adobe ColdFusion 2021：更新到Update 6

下载链接：

https://helpx.adobe.com/coldfusion/kb/coldfusion-2021-update-6.html

3.2 临时措施

暂无。

3.3 通用建议

定期更新系统补丁，减少系统漏洞，提升服务器的安全性。

加强系统和网络的访问控制，修改防火墙策略，关闭非必要的应用端口或服务，减少将危险服务（如SSH、RDP等）暴露到公网，减少攻击面。

使用企业级安全产品，提升企业的网络安全性能。

加强系统用户和权限管理，启用多因素认证机制和最小权限原则，用户和软件权限应保持在最低限度。

启用强密码策略并设置为定期修改。

3.4 参考链接

https://helpx.adobe.com/security/products/coldfusion/apsb23-25.html

https://www.bleepingcomputer.com/news/security/cisa-warns-of-adobe-coldfusion-bug-exploited-as-a-zero-day/

原文始发于微信公众号（维他命安全）：【漏洞通告】Adobe ColdFusion访问控制不当漏洞（CVE-2023-26360）