Adobe 发布了带外安全更新,以通过概念验证 (PoC) 漏洞代码解决严重的 ColdFusion 漏洞。
该公司在周一发布的一份公告中表示,该漏洞(追踪为 CVE-2024-53961)是由影响 Adobe ColdFusion 版本 2023 和 2021 的路径遍历弱点引起的,并可能使攻击者能够读取易受攻击的服务器上的任意文件。
Adobe今天表示:“Adobe 意识到 CVE-2024-53961 具有已知的概念验证,可能导致任意文件系统读取”,同时还警告客户,它为该漏洞分配了“优先级 1”严重等级,因为它“在给定的产品版本和平台上被野外攻击的风险更高”。
该公司建议管理员尽快安装今天的紧急安全补丁(ColdFusion 2021 Update 18 和 ColdFusion 2023 Update 12),“例如在 72 小时内”,并应用ColdFusion 2023和ColdFusion 2021封锁指南中概述的安全配置设置。
虽然 Adobe 尚未透露此漏洞是否已被利用,但它今天建议客户查看其更新的串行过滤器文档,以获取有关阻止不安全的 Wddx 反序列化攻击的更多信息。
今年5 月, CISA 曾警告称,敦促软件公司在发布产品之前消除路径遍历安全漏洞,攻击者可以利用此类漏洞访问敏感数据,包括可用于暴力破解现有账户并破坏目标系统的凭证。
“自 2007 年以来,目录遍历等漏洞就被称为‘不可原谅’。尽管如此,目录遍历漏洞(例如 CWE-22 和 CWE-23)仍然是普遍存在的漏洞类别,”CISA 表示。
去年,即 2023 年 7 月,CISA 还命令联邦机构在 8 月 10 日之前保护其 Adobe ColdFusion 服务器,以防范攻击中利用的两个严重安全漏洞(CVE-2023-29298和CVE-2023-38205),其中一个是零日漏洞。
该美国网络安全机构一年前还透露,黑客自 2023 年 6 月以来一直在利用另一个关键的 ColdFusion 漏洞 (CVE-2023-26360) 来攻击过时的政府服务器。自 2023 年 3 月以来,同一漏洞在“非常有限的攻击”中 被 积极利用 为零日漏洞。
原文始发于微信公众号(独眼情报):Adobe 警告 ColdFusion 存在严重漏洞,并且 PoC 已流出
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论