More

    ColdFusion: Adobe uvodi nove zakrpe za aktivno iskorištavanu ranjivost

    Adobe je objavio novi krug ažuriranja kako bi se pozabavio nekompletnim popravkom za nedavno otkrivenu grešku ColdFusion koja je bila pod aktivnom eksploatacijom u praksi.

    Kritičan nedostatak, praćen kao CVE-2023-38205 (CVSS rezultat: 7,5), opisan je kao primjer nepravilne kontrole pristupa koja bi mogla rezultovati sigurnosnim zaobilaženjem. To utiče na sljedeće verzije:

    • ColdFusion 2023 (Ažuriranje 2 i starije verzije)
    • ColdFusion 2021 (Ažuriranje 8 i starije verzije)
    • ColdFusion 2018 (Ažuriranje 18 i starije verzije)

    “Adobe je svjestan da je CVE-2023-38205 eksploatisan u praksi u ograničenim napadima usmjerenim na Adobe ColdFusion” kažu iz kompanije.

    Ažuriranje takođe rješava dvije druge mane, uključujući kritičnu grešku deserializacije (CVE-2023-38204, CVSS rezultat: 9.8) koja bi mogla dovesti do daljinskog izvršavanja koda i drugu nepravilnu kontrolu pristupa koja bi takođe mogla utrti put sigurnosnoj zaobilaznici (CVE-2023-38206).

    Objava stiže nekoliko dana nakon što je Rapid7 upozorio da je popravka postavljena za CVE-2023-29298 nepotpuna i da bi ga haker trivijalno mogli zaobići. Firma za kibernetičku bezbjednost je potvrdila da nova zakrpa u potpunosti zatvara sigurnosnu rupu.

    CVE-2023-29298, ranjivost zaobilaženja kontrole pristupa, naoružana je u napadima u stvarnom svijetu tako što je povezana s još jednom manom za koju se sumnja da je CVE-2023-38203 za ispuštanje web shell-a na kompromitovane sisteme za pristup backdoor-u.

    Korisnicima Adobe ColdFusion-a toplo se preporučuje da ažuriraju svoje instalacije na najnoviju verziju kako bi ublažili potencijalne pretnje.

    Izvor: The Hacker News

    Recent Articles

    spot_img

    Related Stories