Adobe je objavio novi krug ažuriranja kako bi se pozabavio nekompletnim popravkom za nedavno otkrivenu grešku ColdFusion koja je bila pod aktivnom eksploatacijom u praksi.
Kritičan nedostatak, praćen kao CVE-2023-38205 (CVSS rezultat: 7,5), opisan je kao primjer nepravilne kontrole pristupa koja bi mogla rezultovati sigurnosnim zaobilaženjem. To utiče na sljedeće verzije:
- ColdFusion 2023 (Ažuriranje 2 i starije verzije)
- ColdFusion 2021 (Ažuriranje 8 i starije verzije)
- ColdFusion 2018 (Ažuriranje 18 i starije verzije)
“Adobe je svjestan da je CVE-2023-38205 eksploatisan u praksi u ograničenim napadima usmjerenim na Adobe ColdFusion” kažu iz kompanije.
Ažuriranje takođe rješava dvije druge mane, uključujući kritičnu grešku deserializacije (CVE-2023-38204, CVSS rezultat: 9.8) koja bi mogla dovesti do daljinskog izvršavanja koda i drugu nepravilnu kontrolu pristupa koja bi takođe mogla utrti put sigurnosnoj zaobilaznici (CVE-2023-38206).
Objava stiže nekoliko dana nakon što je Rapid7 upozorio da je popravka postavljena za CVE-2023-29298 nepotpuna i da bi ga haker trivijalno mogli zaobići. Firma za kibernetičku bezbjednost je potvrdila da nova zakrpa u potpunosti zatvara sigurnosnu rupu.
CVE-2023-29298, ranjivost zaobilaženja kontrole pristupa, naoružana je u napadima u stvarnom svijetu tako što je povezana s još jednom manom za koju se sumnja da je CVE-2023-38203 za ispuštanje web shell-a na kompromitovane sisteme za pristup backdoor-u.
Korisnicima Adobe ColdFusion-a toplo se preporučuje da ažuriraju svoje instalacije na najnoviju verziju kako bi ublažili potencijalne pretnje.
Izvor: The Hacker News