PoC-эксплойт уже в сети, установите исправление как можно скорее.
Adobe объявила о выпуске внеплановых обновлений безопасности для устранения критической уязвимости в ColdFusion ( CVE-2024-53961 ), для которой уже существует PoC-эксплойт. Проблема вызвана уязвимостью обхода директорий, что позволяет злоумышленникам читать произвольные файлы на уязвимых серверах.
Уязвимость затрагивает версии ColdFusion 2023 и 2021. Компания присвоила ей рейтинг серьёзности «Priority 1», указывая на высокий риск реальной эксплуатации. По шкале CVSS проблема получила рейтинг 7.4. Администраторам рекомендовано установить обновления безопасности (ColdFusion 2021 Update 18 и ColdFusion 2023 Update 12) в течение 72 часов.
Дополнительно Adobe советует настроить параметры безопасности в соответствии с руководствами по блокировке ColdFusion 2023 и 2021 и обновить фильтры сериализации для защиты от атак через небезопасную десериализацию Wddx.
Хотя компания не подтвердила случаи эксплуатации уязвимости, CISA ранее предупреждала о важности устранения подобных проблем. Уязвимости обхода директорий, известные с 2007 года, остаются актуальными, позволяя злоумышленникам получать доступ к конфиденциальным данным, включая учётные данные.
В прошлом году CISA уже требовала от федеральных агентств обновить ColdFusion для устранения критических уязвимостей, включая эксплуатацию уязвимостей нулевого дня. Среди них — уязвимость CVE-2023-26360, активно использовавшаяся для атак на устаревшие серверы.
Но доступ к знаниям открыт для всех