20/07/2023THNSoftware security / Lỗ hổng bảo mật
Adobe đã phát hành một đợt cập nhật mới để giải quyết một bản sửa lỗi chưa hoàn chỉnh cho lỗ hổng ColdFusion được tiết lộ gần đây đang bị khai thác tích cực trong tự nhiên.
Thiếu sót nghiêm trọng, được theo dõi như CVE-2023-38205 (điểm CVSS: 7,5), đã được mô tả là một trường hợp kiểm soát truy cập không phù hợp có thể dẫn đến bỏ qua bảo mật. Nó tác động đến các phiên bản sau:
ColdFusion 2023 (Bản cập nhật 2 và các phiên bản cũ hơn) ColdFusion 2021 (Bản cập nhật 8 và các phiên bản cũ hơn) và ColdFusion 2018 (Bản cập nhật 18 và các phiên bản cũ hơn)
“Adobe biết rằng CVE-2023-38205 đã bị khai thác trong tự nhiên trong các cuộc tấn công hạn chế nhắm vào Adobe ColdFusion,” công ty cho biết.
Bản cập nhật cũng giải quyết hai lỗ hổng khác, bao gồm một lỗi khử lưu huỳnh nghiêm trọng (CVE-2023-38204, điểm CVSS: 9,8) có thể dẫn đến thực thi mã từ xa và một lỗ hổng kiểm soát truy cập không phù hợp thứ hai cũng có thể mở đường cho việc vượt qua bảo mật (CVE-2023-38206, điểm CVSS: 5,3).
HỘI THẢO TRỰC TUYẾN SẮP TỚI
Lá chắn chống lại các mối đe dọa nội bộ: Quản lý tư thế bảo mật SaaS Master
Lo lắng về các mối đe dọa nội bộ? Chúng tôi đã có bạn bảo hiểm! Tham gia hội thảo trực tuyến này để khám phá các chiến lược thực tế và bí mật của bảo mật chủ động với Quản lý tư thế bảo mật SaaS.
tham gia ngay hôm nay
Tiết lộ được đưa ra vài ngày sau khi Rapid7 cảnh báo rằng bản sửa lỗi được áp dụng cho CVE-2023-29298 chưa hoàn thiện và nó có thể bị các tác nhân độc hại vượt qua một cách tầm thường. Công ty an ninh mạng đã xác nhận rằng bản vá mới đã lấp đầy hoàn toàn lỗ hổng bảo mật.
CVE-2023-29298, một lỗ hổng bỏ qua kiểm soát truy cập, đã được vũ khí hóa trong các cuộc tấn công trong thế giới thực bằng cách xâu chuỗi lỗ hổng đó với một lỗ hổng khác bị nghi ngờ là CVE-2023-38203 để thả vỏ web vào các hệ thống bị xâm nhập để truy cập cửa sau.
Người dùng Adobe ColdFusion được khuyến nghị cập nhật cài đặt của họ lên phiên bản mới nhất để giảm thiểu các mối đe dọa tiềm ẩn.
