Търсене
Close this search box.

Adobe пусна нов кръг актуализации за отстраняване на непълна поправка на неотдавна разкрит недостатък в ColdFusion, който се експлоатира активно.

Критичният недостатък, проследен като CVE-2023-38205 (CVSS оценка: 7,5), е описан като случай на неправилен контрол на достъпа, който може да доведе до заобикаляне на сигурността. Той засяга следните версии:

  • ColdFusion 2023 (Update 2 и по-ранни версии)
  • ColdFusion 2021 (Update 8 и по-ранни версии), и
  • ColdFusion 2018 (Update 18 и по-ранни версии).

„Adobe е наясно, че CVE-2023-38205 е бил използван  при ограничени атаки, насочени към Adobe ColdFusion“, заявиха от компанията.

Актуализацията също така отстранява два други недостатъка, включително критичен бъг в десериализацията (CVE-2023-38204, CVSS оценка: 9,8), който може да доведе до отдалечено изпълнение на код, и втори недостатък в неправилния контрол на достъпа, който също може да проправи път за заобикаляне на сигурността (CVE-2023-38206, CVSS оценка: 5,3).

Разкритието идва дни след като Rapid7 предупреди, че въведената поправка за CVE-2023-29298 е непълна и че тя може да бъде тривиално заобиколена от злонамерени хакери. Фирмата за киберсигурност потвърди, че новата кръпка напълно запълва дупката в сигурността.

CVE-2023-29298, уязвимост за заобикаляне на контрола на достъпа, е била използвана като оръжие при реални атаки, като е била верижно свързана с друг недостатък, за който се предполага, че е CVE-2023-38203, за да се пускат уеб обвивки на компрометирани системи с цел достъп до задна врата.

На потребителите на Adobe ColdFusion се препоръчва да актуализират инсталациите си до най-новата версия, за да намалят потенциалните заплахи.

Източник: The Hacker News

Подобни публикации

13 декември 2024

Silent Push набра 10 млн. долара за платформа з...

Фирмата за разузнаване на заплахи Silent Push е депозирала 10 млн. ...
13 декември 2024

Фишинг - тихият предвестник на пробивите

Фишингът е една от най-разпространените тактики, техники и процедур...
13 декември 2024

Фалшиви ИТ работници превеждат милиони на Север...

В четвъртък Министерството на правосъдието на САЩ обяви обвиненията...
12 декември 2024

Изследователи разбиват Microsoft Azure MFA за е...

Изследователи разбиха метод за многофакторно удостоверяване (MFA) в...
12 декември 2024

Apple пусна големи актуализации на сигурността ...

В Купертино денят на кръпките е сряда тихоокеанско време. Екипът за...
12 декември 2024

27 услуги за DDoS атаки са свалени от Европол

Международна операция на правоприлагащите органи, насочена срещу ра...
12 декември 2024

Ключове за разбиране на MDR, EDR, NDR, XDR (ЧАС...

Еволюция на решенията за откриване и реагиране (DR) През последното...
12 декември 2024

Пионерът в симетричната криптография се насочва...

Бъдещето, в което се използват квантови изчисления, не е далеч, но ...
12 декември 2024

Телевизията на шотландския парламент е изложена...

Дълбоките фалшификати се превръщат в заплаха за записите и видеопот...
Бъдете социални
Още по темата
11/12/2024

Atlassian и Splunk кърпят ...

Във вторник Atlassian и Splunk обявиха...
11/12/2024

BadRAM пробива защитите на ...

Академични изследователи са разработили нова атака,...
11/12/2024

Кибератака поставя Krispy K...

Веригата за продажба на понички и...
Последно добавени
13/12/2024

Silent Push набра 10 млн. д...

Фирмата за разузнаване на заплахи Silent...
13/12/2024

Фишинг - тихият предвестник...

Фишингът е една от най-разпространените тактики,...
13/12/2024

Фалшиви ИТ работници превеж...

В четвъртък Министерството на правосъдието на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!