Adobe исправила уязвимость нулевого дня в ColdFusion

Adobe исправила уязвимость нулевого дня в ColdFusion

Уязвимость позволяет удаленно выполнить код и уже эксплуатируется злоумышленниками.

В пятницу, 1 марта, компания Adobe выпустила экстренное исправление для критической уязвимости в своей платформе для разработки web-приложений ColdFusion. Уязвимость позволяет удаленно выполнить код и уже эксплуатируется злоумышленниками. Проблема затрагивает все версии ColdFusion, на которых не установлен последний патч – ColdFusion 2018 (версия 2 и более ранние), 2016 (версия 9 и более ранние) и ColdFusion 11 (версия 17 и более ранние).

С помощью уязвимости (CVE-2019-7816) атакующий может обойти ограничения на загрузку файлов, однако для того чтобы осуществить атаку, у него должна быть возможность загрузить исполняемый код в директорию файлов на сервере. Этот код затем будет выполнен через HTTP-запрос.

Проблема была обнаружена независимым исследователем безопасности Чарли Арехартом (Charlie Arehart) при попытке ее эксплуатации злоумышленниками. Зафиксировав попытку атаки на одного из своих клиентов, Арехарт сразу же связался с Adobe и предложил свой вариант решения проблемы. Производитель выпустил исправление в течение нескольких дней после обнаружения уязвимости.

Во избежание последующих аналогичных атак исследователь не раскрывает, каким способом злоумышленники пытались ее осуществить. По мнению Арехарта, очень важно дать пользователям время на установку обновлений. Тем не менее, исследователь уверен, что, ознакомившись с бюллетенем безопасности от Adobe, умелый хакер сможет сложить два и два и найти способ эксплуатации уязвимости.

Теория струн? У нас целый оркестр научных фактов!

От классики до авангарда — наука во всех жанрах

Настройтесь на нашу волну — подпишитесь