16 Mart 2023Ravie LakshmananSıfır Gün / Güvenlik Açığı

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) 15 Mart’ta katma aktif istismar kanıtına dayalı olarak Adobe ColdFusion’ı Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna etkileyen bir güvenlik açığı.

Söz konusu kritik kusur, CVE-2023-26360 (CVSS puanı: 8.6), bir tehdit aktörü tarafından rasgele kod yürütme elde etmek için kullanılabilir.

“Adobe ColdFusion, uzaktan kod yürütülmesine izin veren uygunsuz bir erişim denetimi güvenlik açığı içeriyor”, CISA söz konusu.

Güvenlik açığı, ColdFusion 2018 (Güncelleme 15 ve önceki sürümler) ve ColdFusion 2021’i (Güncelleme 5 ve önceki sürümler) etkiler. 14 Mart 2023’te yayınlanan sırasıyla Güncelleme 16 ve Güncelleme 6 sürümlerinde ele alınmıştır.

CVE-2023-26360’ın ColdFusion 2016 ve ColdFusion 11 kurulumlarını da etkilediğini belirtmekte fayda var, her ikisi de artık yazılım şirketi tarafından desteklenmiyor. ulaşmış kullanım ömrü sonu (EoL).

Saldırıların doğasını çevreleyen kesin ayrıntılar bilinmemekle birlikte, Adobe söz konusu bir danışma belgesinde, kusurun “çok sınırlı saldırılarda vahşi doğada sömürüldüğünün” farkında olduğu.

WEBİNAR

Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin

Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.

KOLTUĞUNUZU AYIRTIN

Federal Sivil Yürütme Şubesi (FCEB) kurumlarının, ağlarını potansiyel tehditlere karşı korumak için güncellemeleri 5 Nisan 2023’e kadar uygulamaları gerekmektedir.

Pete Freitag ile birlikte kusuru keşfeden ve bildiren bir güvenlik araştırmacısı olan Charlie Arehart, tarif “keyfi kod yürütme” ve “rastgele dosya sistemi okuması” ile sonuçlanabilecek “ciddi” bir sorun olarak.



siber-2