Adobe 警告 ColdFusion 存在严重漏洞，并且 PoC 已流出

Adobe 发布了带外安全更新，以通过概念验证 (PoC) 漏洞代码解决严重的 ColdFusion 漏洞。

该公司在周一发布的一份公告中表示，该漏洞（追踪为 CVE-2024-53961）是由影响 Adobe ColdFusion 版本 2023 和 2021 的路径遍历弱点引起的，并可能使攻击者能够读取易受攻击的服务器上的任意文件。

Adobe今天表示：“Adobe 意识到 CVE-2024-53961 具有已知的概念验证，可能导致任意文件系统读取”，同时还警告客户，它为该漏洞分配了“优先级 1”严重等级，因为它“在给定的产品版本和平台上被野外攻击的风险更高”。

该公司建议管理员尽快安装今天的紧急安全补丁（ColdFusion 2021 Update 18 和 ColdFusion 2023 Update 12），“例如在 72 小时内”，并应用ColdFusion 2023和ColdFusion 2021封锁指南中概述的安全配置设置。

虽然 Adobe 尚未透露此漏洞是否已被利用，但它今天建议客户查看其更新的串行过滤器文档，以获取有关阻止不安全的 Wddx 反序列化攻击的更多信息。

今年5 月， CISA 曾警告称，敦促软件公司在发布产品之前消除路径遍历安全漏洞，攻击者可以利用此类漏洞访问敏感数据，包括可用于暴力破解现有账户并破坏目标系统的凭证。

“自 2007 年以来，目录遍历等漏洞就被称为‘不可原谅’。尽管如此，目录遍历漏洞（例如 CWE-22 和 CWE-23）仍然是普遍存在的漏洞类别，”CISA 表示。

去年，即 2023 年 7 月，CISA 还命令联邦机构在 8 月 10 日之前保护其 Adobe ColdFusion 服务器，以防范攻击中利用的两个严重安全漏洞（CVE-2023-29298和CVE-2023-38205），其中一个是零日漏洞。

该美国网络安全机构一年前还透露，黑客自 2023 年 6 月以来一直在利用另一个关键的 ColdFusion 漏洞 (CVE-2023-26360) 来攻击过时的政府服务器。自 2023 年 3 月以来，同一漏洞在“非常有限的攻击”中 被 积极利用 为零日漏洞。

原文始发于微信公众号（独眼情报）：Adobe 警告 ColdFusion 存在严重漏洞，并且 PoC 已流出