Adobe は、ColdFusion の重大な脆弱性に対処するためのアウトオブバンド セキュリティ アップデートを発行しました。この脆弱性には概念実証 (PoC) エクスプロイト コードが公開されています。
CVE-2024-53961 (CVSS スコア: 7.4) として特定された脆弱性は、パス トラバーサルの欠陥から発生し、Adobe ColdFusion バージョン 2023 (Update 11 以前) および 2021 (Update 17 以前) に影響します。
この欠陥が悪用されると、攻撃者が侵害されたサーバー上の任意のファイルに不正にアクセスし、データが漏洩する可能性があります。
「攻撃者はこの脆弱性を悪用して、アプリケーションによって設定された制限されたディレクトリの外にあるファイルまたはディレクトリにアクセスする可能性があります。これにより、機密情報の漏洩やシステム データの操作につながる可能性があります。」NIST勧告読みます。
ご存じない方のために説明すると、ColdFusion はアプリケーション サーバーおよび Web プログラミング言語であり、ユーザー入力、データベース クエリ、またはその他の基準に基づいてバックエンド システムとの通信を可能にすることで、動的な Web ページの作成を容易にします。
「Adobe は、CVE-2024-53961 には任意のファイル システムの読み取りを引き起こす可能性がある既知の概念実証があることを認識しています」と Adobe は次のように述べています。勧告月曜日にリリースされました。
アドビは、「特定の製品バージョンおよびプラットフォームで、悪用の標的になるリスクがより高い」ため、この欠陥に可能な限り最高の重大度「優先度 1」を割り当てました。
同社は緊急セキュリティパッチ(ColdFusion 2021 Update 18およびColdFusion 2023 Update 12)をリリースしました。この重大な欠陥に関連する潜在的なセキュリティリスクを軽減するために、ユーザーに対しこれらのパッチを「72時間以内」にインストールすることを推奨している。
さらに、アドビは、ユーザーが、「ColdFusion 2023そしてColdFusion 2021ロックダウンガイド。
Adobe はまだこの脆弱性の積極的な悪用を確認していませんが、更新されたバージョンを確認するようユーザーに呼び掛けています。シリアルフィルターのドキュメント安全でない WDDX デシリアライゼーション攻撃から保護します。
