Adobe, saldırılarda sömürülen yeni bir sıfır gün için bir düzeltme de dahil olmak üzere kritik güvenlik açıklarını çözen acil bir ColdFusion güvenlik güncellemesi yayınladı.
Bugünün bant dışı güncellemesinin bir parçası olarak Adobe, üç güvenlik açığını düzeltti: CVE-2023-38204 (9.8 derecelendirme) olarak izlenen kritik bir RCE, CVE-2023-38205 (7.8 derecelendirme) ve CVE-2023-38206 (5.3 (5.3 (5.3) olarak izlenen kritik uygunsuz erişim kontrolü kusuru.
CVE-2023-38204, bugün bir uzaktan kod yürütme hatası olarak yamalı en kritik kusur olsa da, vahşi doğada kullanılmadı.
Ancak Adobe, CVE-2023-38205 kusurunun sınırlı saldırılarda istismar edildiğini söylüyor.
Adobe Güvenlik Bülteni'ni açıklıyor. "Adobe, CVE-2023-38205'in Wild'da Adobe Coldfusion'ı hedefleyen sınırlı saldırılarda kullanıldığının farkında."
CVE-2023-38205 Kususu, Rapid7 araştırmacıları tarafından 11 Temmuz'da keşfedilen bir ColdFusion kimlik doğrulama baypası olan CVE-2023-29298 için düzeltme için bir yama baypastır.
13 Temmuz'da Rapid7, CVE-2023-29298 için istismarları zincirleyen saldırganları ve CVE-2023-29300/CVE-2023-38203 kusurları gibi görünen şey gözlemledi.
Bu Pazartesi, Rapid7, CVE-2023-29298 güvenlik açığı düzeltmesinin atlanabileceğini ve Adobe'ye açıklanabileceğini belirledi.
"Rapid7 araştırmacıları 17 Temmuz Pazartesi günü, Adobe'nin 11 Temmuz'da CVE-2023-29298 için sağlanan düzeltmesinin eksik olduğunu ve önemsiz bir şekilde değiştirilmiş bir istismarın hala Coldfusion'ın (14 Temmuz) en son versiyonuna karşı çalıştığını belirledi."
"Adobe'ye yamalarının eksik olduğunu bildirdik."
Bugün Adobe, BleepingComputer'a CVE-2023-29298 için düzeltmenin CVE-2023-38205 yaması olarak APSB23-47'ye dahil edildiğini doğruladı.
Bu güvenlik açığı, ColdFusion sunucularının kontrolünü ele geçirmek için saldırılarda aktif olarak kullanıldığından, web sitesi operatörlerinin güncellemeyi mümkün olan en kısa sürede yüklemesi şiddetle tavsiye edilir.
Microsoft Temmuz 2023 Patch Salı 6 sıfır gün, 132 kusur uyardı
Kritik Coldfusion Kusurları Saldırılarda Web Shells'i Bırakma
Android Temmuz Güvenlik Güncellemeleri Üç aktif olarak sömürülen hataları düzeltin
Android Güvenlik Güncellemesi Mali GPU hatasını sıfır gün olarak sömürdü
Google, vahşi doğada istismar ile yeni krom sıfır gün kusurunu düzeltir
Kaynak: Bleeping Computer