CISA emite una advertencia urgente: vulnerabilidad de Adobe ColdFusion

La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) agregó el 15 de marzo una vulnerabilidad de seguridad que afecta a Adobe ColdFusion a su catálogo de vulnerabilidades explotadas conocidas (KEV), basándose en evidencia de explotación activa.

La falla crítica en cuestión es CVE-2023-26360 (puntuación CVSS: 8.6), que podría ser explotada por un actor de amenazas para lograr la ejecución de código arbitrario.

"Adobe ColdFusion contiene una vulnerabilidad de control de acceso incorrecta que permite la ejecución remota de código", dijo CISA.

La vulnerabilidad afecta a ColdFusion 2018 (Update 15 y versiones anteriores) y ColdFusion 2021 (Update 5 y versiones anteriores). Se ha abordado en las versiones Update 16 y Update 6, respectivamente, publicadas el 14 de marzo de 2023.

Vale la pena señalar que CVE-2023-26360 también afecta a las instalaciones de ColdFusion 2016 y ColdFusion 11, las cuales ya no son compatibles con la compañía de software ya que han llegado al final de su vida útil (EoL).

Si bien se desconocen los detalles exactos que rodean la naturaleza de los ataques, Adobe dijo en un aviso que es consciente de que la falla está siendo "explotada en la naturaleza en ataques muy limitados".

Las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar las actualizaciones antes del 5 de abril de 2023 para proteger sus redes contra posibles amenazas.

Charlie Arehart, un investigador de seguridad acreditado con el descubrimiento y la denuncia de la falla junto con Pete Freitag, lo describió como un problema "grave" que podría resultar en una "ejecución de código arbitrario" y una "lectura arbitraria del sistema de archivos".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta