(https://i.postimg.cc/hGSBGX77/Adobe.png) (https://postimg.cc/nXw5Rc2H)
Adobe ha publicado actualizaciones de seguridad fuera de banda para abordar una vulnerabilidad crítica de ColdFusion con código de explotación de prueba de concepto (PoC).
En un aviso publicado el lunes, la empresa afirma que la falla (identificada como CVE-2024-53961) está causada por una debilidad de recorrido de ruta que afecta a las versiones 2023 y 2021 de Adobe ColdFusion y puede permitir a los atacantes leer archivos arbitrarios en servidores vulnerables.
"Adobe es consciente de que CVE-2024-53961 tiene una prueba de concepto conocida que podría provocar una lectura arbitraria del sistema de archivos", dijo Adobe hoy, al tiempo que advirtió a los clientes que asignó una calificación de gravedad de "Prioridad 1" a la falla porque tiene un "mayor riesgo de ser el objetivo de exploits en la naturaleza para una determinada versión y plataforma del producto".
La empresa recomienda a los administradores que instalen los parches de seguridad de emergencia de hoy (ColdFusion 2021 Update 18 y ColdFusion 2023 Update 12) lo antes posible, "por ejemplo, dentro de las 72 horas", y que apliquen las configuraciones de seguridad descritas en las guías de confinamiento de ColdFusion 2023 y ColdFusion 2021.
Si bien Adobe aún no ha revelado si esta vulnerabilidad ha sido explotada en la naturaleza, hoy recomendó a los clientes que revisen su documentación actualizada del filtro serial para obtener más información sobre cómo bloquear ataques inseguros de deserialización de Wddx.
Como advirtió CISA en mayo cuando instó a las empresas de software a eliminar los errores de seguridad de recorrido de ruta antes de enviar sus productos, los atacantes pueden explotar dichas vulnerabilidades para acceder a datos confidenciales, incluidas las credenciales que se pueden usar para forzar cuentas ya existentes y violar los sistemas de un objetivo.
"Vulnerabilidades como la de cruce de directorios han sido calificadas de 'imperdonables' desde al menos 2007. A pesar de este hallazgo, las vulnerabilidades de cruce de directorios (como CWE-22 y CWE-23) siguen siendo clases de vulnerabilidad predominantes", dijo CISA.
El año pasado, en julio de 2023, CISA también ordenó a las agencias federales que aseguraran sus servidores Adobe ColdFusion antes del 10 de agosto contra dos fallas de seguridad críticas (CVE-2023-29298 y CVE-2023-38205) explotadas en ataques, uno de ellos como día cero.
La agencia de ciberseguridad estadounidense también reveló hace un año que los piratas informáticos habían estado utilizando otra vulnerabilidad crítica de ColdFusion (CVE-2023-26360) para vulnerar servidores gubernamentales obsoletos desde junio de 2023. La misma falla había sido explotada activamente en "ataques muy limitados" como día cero desde marzo de 2023.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/adobe-warns-of-critical-coldfusion-bug-with-poc-exploit-code/