CVE-2024-53961: Adobe выпустила экстренное обновление для ColdFusion

leer en español

CVE-2024-53961: Adobe выпустила экстренное обновление для ColdFusion

PoC-эксплойт уже в сети, установите исправление как можно скорее.

image

Adobe объявила о выпуске внеплановых обновлений безопасности для устранения критической уязвимости в ColdFusion ( CVE-2024-53961 ), для которой уже существует PoC-эксплойт. Проблема вызвана уязвимостью обхода директорий, что позволяет злоумышленникам читать произвольные файлы на уязвимых серверах.

Уязвимость затрагивает версии ColdFusion 2023 и 2021. Компания присвоила ей рейтинг серьёзности «Priority 1», указывая на высокий риск реальной эксплуатации. По шкале CVSS проблема получила рейтинг 7.4. Администраторам рекомендовано установить обновления безопасности (ColdFusion 2021 Update 18 и ColdFusion 2023 Update 12) в течение 72 часов.

Дополнительно Adobe советует настроить параметры безопасности в соответствии с руководствами по блокировке ColdFusion 2023 и 2021 и обновить фильтры сериализации для защиты от атак через небезопасную десериализацию Wddx.

Хотя компания не подтвердила случаи эксплуатации уязвимости, CISA ранее предупреждала о важности устранения подобных проблем. Уязвимости обхода директорий, известные с 2007 года, остаются актуальными, позволяя злоумышленникам получать доступ к конфиденциальным данным, включая учётные данные.

В прошлом году CISA уже требовала от федеральных агентств обновить ColdFusion для устранения критических уязвимостей, включая эксплуатацию уязвимостей нулевого дня. Среди них — уязвимость CVE-2023-26360, активно использовавшаяся для атак на устаревшие серверы.

Наш канал защищен лучше, чем ваш компьютер!

Но доступ к знаниям открыт для всех

Получите root-права на безопасность — подпишитесь