Adobe izda zasilni popravek za ranljivost ColdFusion

Adobe je izdal popravek za odpravo treh ranljivosti v svoji komercialni računalniški platformi za hitri razvoj spletnih aplikacij ColdFusion. Od treh ranljivosti je ena zero-day, druga pa je bila aktivno izkoriščena v naravi.

Glede na poročilo o BleepingComputer, se zadevne tri ranljivosti spremljajo kot CVE-2023-38204 (kritična RCE z oceno resnosti 9.8), CVE-2023-38205 (kritična napaka pri nepravilnem nadzoru dostopa z oceno resnosti 7.8) in CEV-2023-38206 (zmerna kontrola nepravilnega dostopa z oceno resnosti 5.3).

Čeprav je CVE-2023-38204 kritičen, hekerji tega ne uporabljajo. To je CVE-2023-38205, kritična napaka pri nepravilnem nadzoru dostopa, za katero je Adobe opazil, da jo izkoriščajo akterji groženj.

Naslavljanje obvoznice

"Adobe se zaveda, da je bil CVE-2023-38205 v naravi izkoriščen v omejenih napadih, ki ciljajo na Adobe ColdFusion," je družba zapisala v varnostnem svetovanju.

Napaka CVE-2023-38205 je obvod popravka za popravek za CVE-2023-29298, BleepingComputer dodatno pojasnjeno. To je ColdFusion obvod za preverjanje pristnosti, ki ga je Rapid7 odkril pred približno dvema tednoma.

Sredi julija so raziskovalci kibernetske varnosti iz podjetja Rapid7 opazili akterje groženj, ki uporabljajo več ranljivosti za namestitev spletnih lupin na strežnike ColdFusion. Te spletne lupine so jim omogočile oddaljen dostop do ranljivih končnih točk. Medtem ko je Adobe hitro izdal popravek, je Rapid7 dejal, da ga je mogoče rešiti:

"Raziskovalci Rapid7 so v ponedeljek, 17. julija, ugotovili, da je popravek, ki ga je Adobe zagotovil za CVE-2023-29298 11. julija, nepopoln in da trivialno spremenjeno izkoriščanje še vedno deluje proti najnovejši različici ColdFusion (izdana 14. julija)," so povedali raziskovalci.

"Adobe smo obvestili, da je njihov popravek nepopoln."

Zdaj je Adobe medijem potrdil, da je v svoj zadnji popravek vključil popravek za CVE-2023-29298.

Glede na dejstvo, da je podjetje opazilo napako, ki jo uporabljajo hekerji, uporabnikom močno svetujemo, da nemudoma popravijo svoje končne točke.

Via: BleepingComputer

vir

prejšnja Post

Naslednja objava

Adobe izda zasilni popravek za ranljivost ColdFusion

Programska oprema, ki jo morate imeti v letu 2024

Najboljše kategorije

Najnovejša mnenja

Samsung Galaxy Z Flip 5 Teaser Video, pred dogodkom Galaxy Unpacked, prikazuje nov dizajn tečajev, barvne možnosti

Twitter omejuje število DM-jev, ki jih lahko pošljejo nepreverjeni uporabniki

Moj najljubši telefon Android zmore stvari, ki jih moj iPhone 14 Pro Max ne zmore

ChatGPT za Android bo na voljo naslednji teden in zdaj se lahko vnaprej registrirate

Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A z Google TV, 20 W zvočniki predstavljeni v Indiji: : Cena, Specifikacije

Ta užitna baterija bi lahko poganjala svet diagnostike in trajnostne energije