ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), katma Adobe ColdFusion’daki Bilinen İstismar Edilen Güvenlik Açıklarına ilişkin kritik bir güvenlik açığı (KEV) aktif istismarın kanıtlarına dayanan katalog.
Şu şekilde kataloglanan güvenlik açığı: CVE-2023-26359 (CVSS puanı: 9,8), Adobe ColdFusion 2018 (Güncelleme 15 ve öncesi) ve ColdFusion 2021’de (Güncelleme 5 ve öncesi) mevcut olan ve mevcut kullanıcı bağlamında herhangi bir etkileşim gerektirmeden rastgele kod yürütülmesine neden olabilecek bir seri durumdan çıkarma kusuruyla ilgilidir. .
seri kaldırma (aka sıralamadan çıkarma), bir veri yapısını veya bir nesneyi bir bayt akışından yeniden yapılandırma sürecini ifade eder. Ancak kaynağı doğrulamadan veya içeriğini temizlemeden gerçekleştirildiğinde, beklenmedik sonuçlar kod yürütme veya hizmet reddi (DoS) gibi.
Oldu yamalı Adobe tarafından Mart 2023’te yayınlanan güncellemelerin bir parçası olarak. Bu yazının yazıldığı an itibarıyla kusurun nasıl olduğu hemen belli değil vahşi doğada istismara uğradı.
Bununla birlikte, bu gelişme, CISA’nın aynı ürünü (CVE-2023-26360) etkileyen başka bir kusuru KEV kataloğuna yerleştirmesinden beş aydan fazla bir süre sonra gerçekleşti. Adobe, ColdFusion’a yönelik “çok sınırlı saldırılarda” yararlanılan zayıflığın farkında olduğunu söyledi.
Aktif kötüye kullanımın ışığında, Federal Sivil Yürütme Organı (FCEB) kurumlarının ağlarını potansiyel tehditlere karşı korumak için 11 Eylül 2023’e kadar gerekli yamaları uygulamaları gerekiyor.