من فضلك تسجيل الدخول أو تسجيل لتفعل ذلك.
“image/webp” >”https://cdn.mos.cms.futurecdn.net/v2/t:0,l:0,cw:0,ch:0,q:80,w:320/pQX7vZftvp4kjZhuJkt7yR.jpg” البديل=”Cyber-security” البيانات الأصلية-موس=”https://cdn.mos.cms.futurecdn.net/pQX7vZftvp4kjZhuJkt7yR.jpg” بيانات دبوس الوسائط=”https://cdn.mos.cms.futurecdn.net/pQX7vZftvp4kjZhuJkt7yR.jpg” بيانات دبوس nopin=”true” fetchpriority=”high” crossorigin=”anonymous”>

“height” المحتوى=”600″>”width” المحتوى=”338″>”caption description”>”copyrightHolder”>(حقوق الصورة: صور غيتي)

  • تقوم شركة Adobe بتصحيح الخلل الموجود في نسختين من ColdFusion
  • وحذرت المستخدمين من ضرورة التصحيح في أسرع وقت ممكن، نظرًا لتوفر إثبات المفهوم (PoC).
  • يمكن استخدام الخطأ لإنشاء أو الكتابة فوق الحرجة

أدوبي تم إصلاح ثغرة أمنية عالية الخطورة موجودة في نسختين من ColdFusion، وهي منصة تطوير سريعة لبناء تطبيقات الويب وواجهات برمجة التطبيقات والبرامج.

تم وصف الثغرة الأمنية، التي تم تتبعها باسم CVE-2024-53961، بأنها ثغرة في اجتياز المسار، مما يؤثر على إصدارات ColdFusion 2021 و2023.

تم منحه درجة خطورة تبلغ 7.4 (عالية) ووفقًا لـ CWE، يمكن استخدامه لإنشاء أو الكتابة فوق الملفات الهامة المستخدمة لتشغيل التعليمات البرمجية، مثل البرامج أو المكتبات.

التصحيح في اسرع وقت ممكن

يوضح NIST: “يمكن للمهاجم استغلال هذه الثغرة الأمنية للوصول إلى الملفات أو الأدلة الموجودة خارج الدليل المقيد الذي حدده التطبيق”. “قد يؤدي ذلك إلى الكشف عن معلومات حساسة أو التلاعب ببيانات النظام.”

وهذا ليس نظريًا أيضًا. وفق BleepingComputerإثبات المفهوم (PoC)”inline-link” href=”https://www.techradar.com/pro/adobe-releases-emergency-patch-for-coldfusion-vulnerability” الهدف=”_blank” data-before-rewrite-localise=”https://www.techradar.com/pro/adobe-releases-emergency-patch-for-coldfusion-vulnerability”> استغلال الكود متاح بالفعل.

“Adobe is aware that CVE-2024-53961 has a known proof-of-concept that could cause an arbitrary file system read,” وقالت شركة أدوبي في تقرير أمني، وشدد المنشور. تم إعطاء الخطأ أ “Priority 1” تصنيف خطورة من قبل الشركة، كما فعلت “a higher risk of being targeted, by exploit(s) in the wild for a given product version and platform.”

وحثت شركة Adobe المستخدمين على تطبيق التصحيحات المقدمة على الفور، ويفضل أن يكون ذلك في غضون 72 ساعة. بالنسبة لـ ColdFusion 2021، هذا هو التحديث 18، وبالنسبة لـ ColdFusion 2023، هذا هو التحديث 12.

قم بالتسجيل في النشرة الإخبارية TechRadar Pro للحصول على أهم الأخبار والآراء والميزات والإرشادات التي يحتاجها عملك لتحقيق النجاح!

على الرغم من توفر إثبات المفهوم (PoC)، لا توجد معلومات عما إذا كانت الثغرة الأمنية قد تم إساءة استخدامها بالفعل. ويبدو أن وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) لم تقم بإضافتها إلى قائمة الثغرات الأمنية المستغلة المعروفة (KEV)، والتي يمكن أن تشير إلى أنه لم يتم العثور على دليل على إساءة الاستخدام بعد.

ومع ذلك، يعرف مجرمو الإنترنت أن العديد من المؤسسات لا تهتم كثيرًا عندما يتعلق الأمر بالتصحيح، وغالبًا ما تفضل البحث عن العيوب المعروفة، بدلاً من البحث عن يوم الصفر. ومع توافر إثبات المفهوم (PoC) بالفعل، فإن شن هجوم يمكن أن يكون بمثابة نزهة في الحديقة.

عبر BleepingComputer

قد ترغب أيضا

  • أدوبي تطلق تصحيحًا طارئًا لثغرة ColdFusion
  • وهنا قائمة من”https://www.techradar.com/best/best-antivirus” الهدف=”_blank” data-before-rewrite-localise=”https://www.techradar.com/best/best-antivirus”> أفضل برامج مكافحة الفيروسات الأدوات المعروضة
  • هذه هي”https://www.techradar.com/news/best-endpoint-security-software” الهدف=”_blank” data-before-rewrite-localise=”https://www.techradar.com/news/best-endpoint-security-software”> أفضل أدوات حماية نقطة النهاية الآن

سياد صحفي مستقل متمرس يقيم في سراييفو، البوسنة والهرسك. يكتب عن تكنولوجيا المعلومات (السحابة، إنترنت الأشياء، 5G، VPN) والأمن السيبراني (برامج الفدية، وانتهاكات البيانات، والقوانين واللوائح). في حياته المهنية، التي امتدت لأكثر من عقد من الزمان، كتب للعديد من وسائل الإعلام، بما في ذلك قناة الجزيرة البلقان. وقد أجرى أيضًا عدة وحدات حول كتابة المحتوى لشركة Represent Communications.

اقرأ المزيد

10 0 ديسمبر 25, 2024
اختراق المتجر الرسمي لوكالة الفضاء الأوروبية لسرقة بطاقات الدفع
تحذر Adobe من خطأ خطير في ColdFusion مع كود استغلال PoC

Reactions

0
0
0
0
0
0
بالفعل كان رد فعل لهذا المنصب.

ردود الفعل