Adobe, kavram kanıtı (POC) istismar kodu ile kritik bir ColdFusion güvenlik açığını ele almak için bant dışı güvenlik güncellemeleri yayınladı.
Pazartesi günü yayınlanan bir danışmanlıkta şirket, kusurun (CVE-2024-53961 olarak izlenen), Adobe Coldfusion sürümleri2023 ve 2021'i etkileyen bir yol geçiş zayıflığından kaynaklandığını ve saldırganların savunmasız sunuculardaki keyfi dosyaları okumasını sağlayabileceğini söylüyor.
"Adobe, CVE-2024-53961'in keyfi bir dosya sisteminin okumasına neden olabilecek bilinen bir kavram kanıtı olduğuna sahip olduğunun farkındadır," dedi Adobe bugün müşterilere de "Öncelik 1" şiddet derecesi verdiği için uyarıyor çünkü "Belirli bir ürün versiyonu ve platformu için vahşi doğada istismar (lar) tarafından hedeflenme riski daha yüksektir.
Şirket, yöneticilere günümüzün acil durum güvenlik yamalarını (ColdFusion 2021 Güncelleme 18 ve ColdFusion 2023 Güncelleme 12) kurmalarını tavsiye eder, "örneğin 72 saat içinde" ve ColdFusion 2023 ve ColdFusion 2021 Lockdown Kılavuzlarında belirtilen güvenlik yapılandırma ayarlarını uygulayın .
Adobe, bu güvenlik açığının vahşi doğada kullanılmadığını henüz açıklamamış olsa da, müşterilere bugün güncellenmiş seri filtre belgelerini gözden geçirmelerini tavsiye etti.
CISA, Mayıs ayında yazılım şirketlerini ürünlerini göndermeden önce yol izi güvenlik hatalarını ayıklamaya çağırdığı zaman, saldırganlar, mevcut hesapları zorlamak ve bir hedefin sistemlerini ihlal etmek için kullanılabilecek kimlik bilgileri de dahil olmak üzere hassas verilere erişmek için bu tür güvenlik açıklarından yararlanabilir. .
Cisa, "Dizin geçişi gibi güvenlik açıkları en az 2007'den beri 'affedilemez' olarak adlandırıldı. Bu bulguya rağmen, dizin geçiş güvenlik açıkları (CWE-22 ve CWE-23 gibi) hala yaygın olan güvenlik açığı sınıflarıdır." Dedi.
Geçen yıl, Temmuz 2023'te CISA ayrıca federal ajanslara 10 Ağustos'a kadar Adobe Coldfusion sunucularını iki kritik güvenlik kusuruna (CVE-2023-29298 ve CVE-2023-38205) karşı Saldırılarda sömürdü, bunlardan biri sıfır olarak biri olarak gün.
ABD Siber Güvenlik Ajansı ayrıca bir yıl önce, Hacker'ların Haziran 2023'ten bu yana eski hükümet sunucularını ihlal etmek için başka bir kritik Coldfusion güvenlik açığı (CVE-2023-26360) kullandığını açıkladı. Aynı kusur, "çok sınırlı saldırılarda" aktif olarak sömürüldü. -2023 Mart'tan bu yana.
Windows 11 Kurulum Medya Hatası Güvenlik Güncellemesi Arızalarına Neden Olur
Juniper, Mirai Botnet Scanning için Smart Routers için Uyarıyor
Windows 10 KB5048652 Güncelleme Yeni Anakart Etkinleştirme Hatasını Düzeltiyor
Cleo Yamaları Kritik sıfır gün veri hırsızlığı saldırılarında sömürüldü
Microsoft Aralık 2024 Patch Salı Düzeltmeleri 1 Sökülen Sıfır Gün, 71 Kusur
Kaynak: Bleeping Computer