Adobe пусна нов кръг актуализации за отстраняване на непълна поправка на неотдавна разкрит недостатък в ColdFusion, който се експлоатира активно.
Критичният недостатък, проследен като CVE-2023-38205 (CVSS оценка: 7,5), е описан като случай на неправилен контрол на достъпа, който може да доведе до заобикаляне на сигурността. Той засяга следните версии:
„Adobe е наясно, че CVE-2023-38205 е бил използван при ограничени атаки, насочени към Adobe ColdFusion“, заявиха от компанията.
Актуализацията също така отстранява два други недостатъка, включително критичен бъг в десериализацията (CVE-2023-38204, CVSS оценка: 9,8), който може да доведе до отдалечено изпълнение на код, и втори недостатък в неправилния контрол на достъпа, който също може да проправи път за заобикаляне на сигурността (CVE-2023-38206, CVSS оценка: 5,3).
Разкритието идва дни след като Rapid7 предупреди, че въведената поправка за CVE-2023-29298 е непълна и че тя може да бъде тривиално заобиколена от злонамерени хакери. Фирмата за киберсигурност потвърди, че новата кръпка напълно запълва дупката в сигурността.
CVE-2023-29298, уязвимост за заобикаляне на контрола на достъпа, е била използвана като оръжие при реални атаки, като е била верижно свързана с друг недостатък, за който се предполага, че е CVE-2023-38203, за да се пускат уеб обвивки на компрометирани системи с цел достъп до задна врата.
На потребителите на Adobe ColdFusion се препоръчва да актуализират инсталациите си до най-новата версия, за да намалят потенциалните заплахи.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.