Adobe пуска спешна корекция за уязвимостта на ColdFusion

Adobe пусна корекция за коригиране на три уязвимости, открити в своята изчислителна платформа за комерсиална бърза разработка на уеб приложения ColdFusion. От трите уязвимости една е нулев ден, докато друга се използва активно в дивата природа.

Според доклад за BleepingComputer, въпросните три уязвимости се проследяват като CVE-2023-38204 (критична RCE с оценка на тежест 9.8), CVE-2023-38205 (критична недостатъчност на неправилен контрол на достъпа с оценка на тежест 7.8) и CEV-2023-38206 (умерена неправилна Контрол на достъпа с оценка на тежестта 5.3).

Въпреки че CVE-2023-38204 е критичен, това не е използваното от хакерите. Това е CVE-2023-38205, критичният недостатък на неправилния контрол на достъпа, който Adobe видя да се използва от заплахи.

Адресиране на байпас

„Adobe е наясно, че CVE-2023-38205 е бил използван в дивата природа в ограничени атаки, насочени към Adobe ColdFusion“, каза компанията в съвет за сигурност.

Дефектът CVE-2023-38205 е байпас на корекцията за корекцията за CVE-2023-29298, BleepingComputer допълнително обяснено. Това е байпас за удостоверяване на ColdFusion, който беше открит от Rapid7 преди около две седмици.

В средата на юли изследователи на киберсигурността от Rapid7 видяха заплахи, използващи множество уязвимости, за да инсталират уеб обвивки на сървъри на ColdFusion. Тези webshells им дадоха отдалечен достъп до уязвими крайни точки. Докато Adobe бързо пусна корекция, Rapid7 каза, че може да се заобиколи:

„Изследователите на Rapid7 установиха в понеделник, 17 юли, че корекцията, предоставена от Adobe за CVE-2023-29298 на 11 юли, е непълна и че тривиално модифициран експлойт все още работи срещу най-новата версия на ColdFusion (издадена на 14 юли)“, казаха изследователите .

„Уведомихме Adobe, че тяхната корекция е непълна.“

Сега Adobe потвърди пред медиите, че е включила корекция за CVE-2023-29298 в последната си корекция.

Като се има предвид факта, че компанията забеляза, че пропускът се използва от хакери, настоятелно се препоръчва на потребителите незабавно да коригират своите крайни точки.

Via: BleepingComputer

източник

Предишна публикация

Следващ пост

Keep Calm and Stay Smart

00:38

Нашият екип професионално тества стотици софтуер, услуги и бизнес стратегии всяка година чрез нашите собствени консултанти и група от бизнес лидери.

Ние избираме строго решения само с най-високо съотношение цена-полза, които са лесни за използване, които се интегрират прилично във всякакъв тип организация и които включват водещи функции, за да ви гарантират да останете на върха на вашия бизнес сектор.

Adobe пуска спешна корекция за уязвимостта на ColdFusion

Задължителен софтуер през 2024 г

Топ категории

Най-новите мнения

Тийзър видео на Samsung Galaxy Z Flip 5, преди събитието Galaxy Unpacked, показва нов дизайн на панти, цветови опции

Twitter ограничава броя на DM съобщенията, които непотвърдените потребители могат да изпращат

Любимият ми телефон с Android може да прави неща, които моят iPhone 14 Pro Max не може

ChatGPT за Android стартира следващата седмица и можете да се регистрирате предварително сега

Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A с Google TV, 20W високоговорители, лансирани в Индия: Цена, Спецификации

Тази ядивна батерия може да захранва света на диагностиката и устойчивата енергия