Firma Adobe udostępnia awaryjną łatę usuwającą lukę w zabezpieczeniach ColdFusion

Firma Adobe wydała poprawkę, która ma naprawić trzy luki wykryte w komercyjnej platformie obliczeniowej do szybkiego tworzenia aplikacji internetowych ColdFusion. Z trzech luk w zabezpieczeniach jedna jest typu zero-day, podczas gdy inna była aktywnie wykorzystywana w środowisku naturalnym.

Jak wynika z raportu dot BleepingComputer, trzy luki, o których mowa, są śledzone jako CVE-2023-38204 (krytyczna RCE z oceną istotności 9.8), CVE-2023-38205 (krytyczna niewłaściwa usterka kontroli dostępu z oceną istotności 7.8) i CEV-2023-38206 (umiarkowana niewłaściwa Kontrola dostępu z oceną istotności 5.3).

Mimo że luka CVE-2023-38204 jest krytyczna, hakerzy nie używają jej. To CVE-2023-38205, krytyczna luka w nieprawidłowej kontroli dostępu, którą według firmy Adobe wykorzystują cyberprzestępcy.

Adresowanie obwodnicy

„Adobe zdaje sobie sprawę, że luka CVE-2023-38205 była wykorzystywana na wolności w ograniczonych atakach na Adobe ColdFusion” — poinformowała firma w komunikacie dotyczącym bezpieczeństwa.

Luka CVE-2023-38205 jest obejściem poprawki dla poprawki CVE-2023-29298, BleepingComputer dalej wyjaśnione. Jest to obejście uwierzytelniania ColdFusion, które zostało wykryte przez Rapid7 jakieś dwa tygodnie temu.

W połowie lipca badacze cyberbezpieczeństwa z firmy Rapid7 zauważyli, że ugrupowania cyberprzestępcze wykorzystują wiele luk w zabezpieczeniach, aby instalować powłoki sieciowe na serwerach ColdFusion. Te powłoki sieciowe zapewniły im zdalny dostęp do wrażliwych punktów końcowych. Podczas gdy Adobe szybko wydało łatkę, Rapid7 powiedział, że można to obejść:

„Badacze Rapid7 ustalili w poniedziałek, 17 lipca, że poprawka, którą Adobe dostarczyła dla CVE-2023-29298 11 lipca, jest niekompletna i że trywialnie zmodyfikowany exploit nadal działa w stosunku do najnowszej wersji ColdFusion (wydanej 14 lipca)” – napisali naukowcy .

„Powiadomiliśmy firmę Adobe, że ich poprawka jest niekompletna”.

Teraz firma Adobe potwierdziła mediom, że w najnowszej łatce umieściła poprawkę dla luki CVE-2023-29298.

Biorąc pod uwagę fakt, że firma zauważyła lukę wykorzystywaną przez hakerów, zdecydowanie zaleca się użytkownikom natychmiastowe załatanie swoich punktów końcowych.

Via: BleepingComputer

Źródło

Poprzedni post

Następny post

Firma Adobe udostępnia awaryjną łatę usuwającą lukę w zabezpieczeniach ColdFusion

Niezbędne oprogramowanie w 2024 r.

Najlepsze kategorie

Najnowsze

Samsung Galaxy Z Flip 5 Teaser Video, przed wydarzeniem Galaxy Unpacked, prezentuje nowy projekt zawiasów, opcje kolorystyczne

Twitter ogranicza liczbę wiadomości prywatnych, które niezweryfikowani użytkownicy mogą wysyłać

Mój ulubiony telefon z Androidem potrafi rzeczy, których nie potrafi mój iPhone 14 Pro Max

ChatGPT na Androida zostanie uruchomiony w przyszłym tygodniu i możesz się wstępnie zarejestrować już teraz

Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A z Google TV, głośniki 20W wprowadzone na rynek w Indiach: Cena, dane techniczne

Ta jadalna bateria mogłaby zasilić świat diagnostyki i zrównoważonej energii