Ngày 16 tháng 3 năm 2023Ravie LakshmananNgày không / lỗ hổng
Cơ quan an ninh cơ sở hạ tầng và an ninh mạng Hoa Kỳ (CISA) vào ngày 15 tháng 3 đã thêm một lỗ hổng bảo mật ảnh hưởng đến Adobe ColdFusion vào danh mục Các lỗ hổng bị khai thác đã biết (KEV) dựa trên bằng chứng về hoạt động khai thác.
Lỗ hổng nghiêm trọng được đề cập là CVE-2023-26360 (điểm CVSS: 8,6), có thể bị kẻ xấu khai thác để thực thi mã tùy ý.
“Adobe ColdFusion chứa lỗ hổng kiểm soát truy cập không phù hợp cho phép thực thi mã từ xa,” CISA cho biết.
Lỗ hổng ảnh hưởng đến ColdFusion 2018 (Bản cập nhật 15 và các phiên bản cũ hơn) và ColdFusion 2021 (Bản cập nhật 5 và các phiên bản cũ hơn). Nó đã được giải quyết trong các phiên bản Cập nhật 16 và Cập nhật 6, tương ứng, được phát hành vào ngày 14 tháng 3 năm 2023.
Điều đáng chú ý là CVE-2023-26360 cũng ảnh hưởng đến các bản cài đặt ColdFusion 2016 và ColdFusion 11, nhưng không còn được công ty phần mềm hỗ trợ nữa vì chúng đã hết tuổi thọ (EoL).
Mặc dù các chi tiết chính xác xung quanh bản chất của các cuộc tấn công vẫn chưa được biết, Adobe cho biết trong một lời khuyên rằng họ biết lỗ hổng đang “bị khai thác trong tự nhiên trong các cuộc tấn công rất hạn chế”.
Các cơ quan Chi nhánh Hành pháp Dân sự Liên bang (FCEB) phải áp dụng các bản cập nhật trước ngày 5 tháng 4 năm 2023 để bảo vệ mạng của họ trước các mối đe dọa tiềm tàng.
Charlie Arehart, một nhà nghiên cứu bảo mật được cho là đã phát hiện và báo cáo lỗ hổng cùng với Pete Freitag, đã mô tả đây là một vấn đề “nghiêm trọng” có thể dẫn đến “thực thi mã tùy ý” và “đọc hệ thống tệp tùy ý”.
