أصدرت Adobe تحديثات أمنية خارج النطاق لمعالجة ثغرة ColdFusion الحرجة باستخدام كود استغلال إثبات المفهوم (PoC).
وفي تقرير استشاري صدر يوم الاثنين، قالت الشركة إن الخلل (المتتبع باسم CVE-2024-53961) ناتج عن”https://cwe.mitre.org/data/definitions/22.html” الهدف=”_blank” rel=”nofollow noopener”> اجتياز المسار الضعف الذي يؤثر على إصدارات Adobe ColdFusion 2023 و2021 ويمكن أن يمكّن المهاجمين من قراءة الملفات التعسفية على الخوادم الضعيفة.
“Adobe is aware that CVE-2024-53961 has a known proof-of-concept that could cause an arbitrary file system read,” أدوبي”https://helpx.adobe.com/security/products/coldfusion/apsb24-107.html” الهدف=”_blank” rel=”nofollow noopener”> قال اليوم، مع تحذير العملاء أيضًا من تعيينه “Priority 1” تصنيف خطورة الخلل لأنه يحتوي على “a higher risk of being targeted, by exploit(s) in the wild for a given product version and platform.”
وتنصح الشركة المسؤولين بتثبيت التصحيحات الأمنية الطارئة اليوم (ColdFusion 2021 Update 18 وColdFusion 2023 Update 12) في أقرب وقت ممكن، “for example, within 72 hours,” وتطبيق إعدادات تكوين الأمان الموضحة في”https://www.adobe.com/content/dam/cc/us/en/products/coldfusion/pdfs/cf-starter-kits/coldfusion-2023-lockdown-guide-1.1.pdf” الهدف=”_blank” rel=”nofollow noopener”> كولد فيوجن 2023 و”https://www.adobe.com/content/dam/cc/us/en/products/coldfusion/pdfs/cf-starter-kits/coldfusion-2021-lockdown-guide-1.1.pdf” الهدف=”_blank” rel=”nofollow noopener”> كولد فيوجن 2021 أدلة الإغلاق.
في حين أن Adobe لم تكشف بعد عما إذا كانت هذه الثغرة الأمنية قد تم استغلالها بشكل مباشر، فقد نصحت العملاء اليوم بذلك”https://helpx.adobe.com/coldfusion/kb/coldfusion-serialfilter-file.html” الهدف=”_blank” rel=”nofollow noopener”> قم بمراجعة وثائق التصفية التسلسلية المحدثة لمزيد من المعلومات حول حظر هجمات إلغاء تسلسل Wddx غير الآمنة.
كما CISA”https://www.bleepingcomputer.com/news/security/cisa-urges-software-devs-to-weed-out-path-traversal-vulnerabilities/” الهدف=”_blank” rel=”nofollow noopener”> حذر في مايو عندما حثت شركات البرمجيات على التخلص من الأخطاء الأمنية المتعلقة باجتياز المسار قبل شحن منتجاتها، يمكن للمهاجمين استغلال نقاط الضعف هذه للوصول إلى البيانات الحساسة، بما في ذلك بيانات الاعتماد التي يمكن استخدامها لاختراق الحسابات الموجودة بالفعل واختراق أنظمة الهدف.
“Vulnerabilities like directory traversal have been called ‘unforgivable’ since at least 2007. Despite this finding, directory traversal vulnerabilities (such as CWE-22 and CWE-23) are still prevalent classes of vulnerability,” قالت CISA.
في العام الماضي، في يوليو 2023، أمرت CISA أيضًا الوكالات الفيدرالية بتأمين خوادم Adobe ColdFusion الخاصة بها بحلول 10 أغسطس ضد عيبين أمنيين خطيرين (“https://nvd.nist.gov/vuln/detail/CVE-2023-29298″ الهدف=”_blank” rel=”nofollow noopener”>CVE-2023-29298 و”https://nvd.nist.gov/vuln/detail/CVE-2023-38205″ الهدف=”_blank” rel=”nofollow noopener”>CVE-2023-38205) يتم استغلالها في هجمات أحدها بمثابة يوم الصفر.
وكشفت وكالة الأمن السيبراني الأمريكية أيضًا قبل عام واحد أن المتسللين كانوا يستخدمون ثغرة أمنية خطيرة أخرى في ColdFusion (CVE-2023-26360).”https://www.bleepingcomputer.com/news/security/hackers-breach-us-govt-agencies-using-adobe-coldfusion-exploit/” الهدف=”_blank” rel=”nofollow noopener”> لاختراق الخوادم الحكومية القديمةمنذ يونيو 2023. وكان نفس الخلل”https://www.bleepingcomputer.com/news/security/cisa-warns-of-adobe-coldfusion-bug-exploited-as-a-zero-day/” الهدف=”_blank” rel=”nofollow noopener”> استغلالها بنشاط في “very limited attacks”كيوم صفر منذ مارس 2023.