Adobe 警告 ColdFusion 存在严重漏洞,并且 PoC 已流出

admin 2024年12月24日23:33:22评论8 views字数 903阅读3分0秒阅读模式

Adobe 警告 ColdFusion 存在严重漏洞,并且 PoC 已流出

Adobe 发布了带外安全更新,以通过概念验证 (PoC) 漏洞代码解决严重的 ColdFusion 漏洞。

该公司在周一发布的一份公告中表示,该漏洞(追踪为 CVE-2024-53961)是由影响 Adobe ColdFusion 版本 2023 和 2021 的路径遍历弱点引起的,并可能使攻击者能够读取易受攻击的服务器上的任意文件。

Adobe今天表示:“Adobe 意识到 CVE-2024-53961 具有已知的概念验证,可能导致任意文件系统读取”,同时还警告客户,它为该漏洞分配了“优先级 1”严重等级,因为它“在给定的产品版本和平台上被野外攻击的风险更高”。

该公司建议管理员尽快安装今天的紧急安全补丁(ColdFusion 2021 Update 18 和 ColdFusion 2023 Update 12),“例如在 72 小时内”,并应用ColdFusion 2023和ColdFusion 2021封锁指南中概述的安全配置设置。

虽然 Adobe 尚未透露此漏洞是否已被利用,但它今天建议客户查看其更新的串行过滤器文档,以获取有关阻止不安全的 Wddx 反序列化攻击的更多信息。

今年5 月, CISA 曾警告称,敦促软件公司在发布产品之前消除路径遍历安全漏洞,攻击者可以利用此类漏洞访问敏感数据,包括可用于暴力破解现有账户并破坏目标系统的凭证。

“自 2007 年以来,目录遍历等漏洞就被称为‘不可原谅’。尽管如此,目录遍历漏洞(例如 CWE-22 和 CWE-23)仍然是普遍存在的漏洞类别,”CISA 表示。

去年,即 2023 年 7 月,CISA 还命令联邦机构在 8 月 10 日之前保护其 Adobe ColdFusion 服务器,以防范攻击中利用的两个严重安全漏洞(CVE-2023-29298和CVE-2023-38205),其中一个是零日漏洞。

该美国网络安全机构一年前还透露,黑客自 2023 年 6 月以来一直在利用另一个关键的 ColdFusion 漏洞 (CVE-2023-26360) 来攻击过时的政府服务器。自 2023 年 3 月以来,同一漏洞在“非常有限的攻击”中 被 积极利用 为零日漏洞。

原文始发于微信公众号(独眼情报):Adobe 警告 ColdFusion 存在严重漏洞,并且 PoC 已流出

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月24日23:33:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Adobe 警告 ColdFusion 存在严重漏洞,并且 PoC 已流出http://cn-sec.com/archives/3548013.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息