Az Adobe vészhelyzeti javítást ad ki a ColdFusion sebezhetőségére

Az Adobe kiadott egy javítást a ColdFusion kereskedelmi gyors webalkalmazás-fejlesztő számítási platform három biztonsági résének kijavítására. A három sebezhetőség közül az egyik nulladik nap, míg egy másikat a vadonban aktívan kihasználtak.

Egy jelentés szerint BleepingComputer, a szóban forgó három sebezhetőséget a következőképpen követi nyomon: CVE-2023-38204 (kritikus RCE 9.8-as súlyossági pontszámmal), CVE-2023-38205 (kritikus helytelen hozzáférés-szabályozási hiba 7.8-as súlyossági pontszámmal) és CEV-2023-38206. Hozzáférés-vezérlés 5.3-as súlyossági pontszámmal).

Annak ellenére, hogy a CVE-2023-38204 kritikus, a hackerek nem ezt használják. Ez a CVE-2023-38205, az a kritikus helytelen hozzáférés-szabályozási hiba, amelyet az Adobe észlelt a fenyegetés szereplői által kihasználva.

Egy elkerülő út címzése

„Az Adobe tisztában van azzal, hogy a CVE-2023-38205-öt a vadonban kihasználták az Adobe ColdFusion elleni korlátozott támadások során” – áll a vállalat biztonsági tanácsában.

A CVE-2023-38205 hiba egy patch bypass a CVE-2023-29298 javításhoz, BleepingComputer tovább magyarázta. Ez egy ColdFusion hitelesítési bypass, amelyet a Rapid7 fedezett fel körülbelül két hete.

Július közepén a Rapid7 kiberbiztonsági kutatói azt tapasztalták, hogy a fenyegetés szereplői több sebezhetőséget használva webshelleket telepítettek a ColdFusion szerverekre. Ezek a webshellek távoli hozzáférést biztosítottak számukra a sebezhető végpontokhoz. Míg az Adobe gyorsan kiadott egy javítást, a Rapid7 azt mondta, hogy ez megkerülhető:

"A Rapid7 kutatói hétfőn, július 17-én megállapították, hogy az Adobe által július 2023-én a CVE-29298-11-as verzióhoz nyújtott javítás hiányos, és egy triviálisan módosított exploit továbbra is működik a ColdFusion legújabb (július 14-én megjelent) verziójával szemben" - közölték a kutatók. .

Értesítettük az Adobe-t, hogy a javításuk hiányos.

Az Adobe most megerősítette a médiának, hogy a CVE-2023-29298 javítást tartalmazza a legújabb javításában.

Tekintettel arra, hogy a vállalat megfigyelte a hackerek által használt hibát, a felhasználóknak erősen javasolt a végpontjaik azonnali javítása.

Keresztül: BleepingComputer

forrás

Előző bejegyzés

Következő bejegyzés

Az Adobe vészhelyzeti javítást ad ki a ColdFusion sebezhetőségére

Kötelező szoftver 2024-ben

Legjobb kategóriák

Legfrissebb értékelések

Samsung Galaxy Z Flip 5 kedvcsináló videó, a Galaxy Unpacked Event előtt, új csuklódizájn, színopciók

A Twitter korlátozza az ellenőrzött felhasználók által küldhető DM-ek számát

Kedvenc Android-telefonom olyan dolgokra képes, amelyekre az iPhone 14 Pro Max nem képes

A ChatGPT for Android a jövő héten indul, és már most előregisztrálhat

Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A Google TV-vel, 20 W-os hangszóró Indiában piacra dobva: : Ár, Műszaki adatok

Ez az ehető akkumulátor táplálhatja a diagnosztika és a fenntartható energia világát