(https://i.imgur.com/VhWMlpX.png)
La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) ha agregado una falla de seguridad crítica en Adobe ColdFusion a su catálogo de vulnerabilidades explotadas conocidas (KEV), basada en evidencia de explotación activa.
La vulnerabilidad, catalogada como CVE-2023-26359 (puntuación CVSS: 9,8), se relaciona con un error de deserialización presente en Adobe ColdFusion 2018 (actualización 15 y versiones anteriores) y ColdFusion 2021 (actualización 5 y versiones anteriores) que podría provocar la ejecución de código arbitrario en el contexto del usuario actual sin requerir ninguna interacción.
La deserialización (también conocida como unmarshaling) se refiere al proceso de reconstrucción de una estructura de datos o un objeto a partir de un flujo de bytes. Pero cuando se realiza sin validar su origen o desinfectar su contenido, puede llevar a consecuencias inesperadas, como la ejecución de código o la denegación de servicio (DoS).
Fue parcheado por Adobe como parte de las actualizaciones emitidas en marzo de 2023. Al momento de escribir, no está claro de inmediato cómo se está abusando de la falla en la naturaleza.
Dicho esto, el desarrollo se produce más de cinco meses después de que CISA colocara otra falla que afecta al mismo producto (CVE-2023-26360) en el catálogo de KEV. Adobe dijo que es consciente de la debilidad que se explota en "ataques muy limitados" dirigidos a ColdFusion.
A la luz de la explotación activa, las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar los parches necesarios antes del 11 de septiembre de 2023 para proteger sus redes contra posibles amenazas.
Fuente: https://thehackernews.com