Adobe rilascia patch di emergenza per la vulnerabilità ColdFusion

Adobe ha rilasciato una patch per correggere tre vulnerabilità rilevate nella sua piattaforma di calcolo per lo sviluppo rapido di applicazioni Web commerciale ColdFusion. Delle tre vulnerabilità, una è zero-day, mentre un'altra veniva sfruttata attivamente in natura.

Come da rapporto su BleepingComputer, le tre vulnerabilità in questione sono tracciate come CVE-2023-38204 (RCE critico con un punteggio di gravità 9.8), CVE-2023-38205 (difetto critico del controllo di accesso improprio con un punteggio di gravità 7.8) e CEV-2023-38206 (difetto Controllo degli accessi con un punteggio di gravità 5.3).

Nonostante CVE-2023-38204 sia critico, non è quello utilizzato dagli hacker. È CVE-2023-38205, il difetto critico del controllo di accesso improprio che Adobe ha visto essere sfruttato dagli attori delle minacce.

Affrontare una tangenziale

"Adobe è consapevole che CVE-2023-38205 è stato sfruttato in natura in attacchi limitati contro Adobe ColdFusion", ha affermato la società in un avviso di sicurezza.

Il difetto CVE-2023-38205 è un bypass della patch per la correzione per CVE-2023-29298, BleepingComputer ulteriormente spiegato. Questo è un bypass dell'autenticazione ColdFusion che è stato scoperto da Rapid7 circa due settimane fa.

A metà luglio, i ricercatori di sicurezza informatica di Rapid7 hanno visto gli attori delle minacce utilizzare più vulnerabilità per installare webshell sui server ColdFusion. Queste webshell hanno fornito loro l'accesso remoto agli endpoint vulnerabili. Sebbene Adobe abbia rilasciato rapidamente una patch, Rapid7 ha affermato che potrebbe essere aggirata:

"I ricercatori di Rapid7 hanno stabilito lunedì 17 luglio che la correzione fornita da Adobe per CVE-2023-29298 l'11 luglio è incompleta e che un exploit banalmente modificato funziona ancora contro l'ultima versione di ColdFusion (rilasciata il 14 luglio)", hanno affermato i ricercatori. .

"Abbiamo notificato ad Adobe che la loro patch è incompleta."

Ora, Adobe ha confermato ai media di aver incluso una correzione per CVE-2023-29298 nella sua ultima patch.

Dato che la società ha osservato che il difetto è stato utilizzato dagli hacker, si consiglia vivamente agli utenti di correggere immediatamente i propri endpoint.

Via: BleepingComputer

Fonte

Articoli precedenti

pagina successiva

Adobe rilascia patch di emergenza per la vulnerabilità ColdFusion

Software indispensabile nel 2024

Le migliori categorie

Ultime recensioni

Il video teaser di Samsung Galaxy Z Flip 5, in vista dell'evento Galaxy Unpacked, mostra il nuovo design della cerniera e le opzioni di colore

Twitter sta limitando il numero di DM che gli utenti non verificati possono inviare

Il mio telefono Android preferito può fare cose che il mio iPhone 14 Pro Max non può fare

ChatGPT per Android verrà lanciato la prossima settimana e puoi pre-registrarti ora

Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A con Google TV, altoparlanti da 20 W lanciati in India: : prezzo, specifiche

Questa batteria commestibile potrebbe alimentare il mondo della diagnostica e dell'energia sostenibile