Adobe lanza nuevos parches para la vulnerabilidad de ColdFusion explotada activamente

20 de julio de 2023THNSeguridad/vulnerabilidad del software

Adobe ha lanzado una nueva ronda de actualizaciones para abordar una solución incompleta para una falla de ColdFusion recientemente revelada que ha estado bajo explotación activa en la naturaleza.

La deficiencia crítica, rastreada como CVE-2023-38205 (puntuación CVSS: 7,5), se ha descrito como un caso de control de acceso inadecuado que podría resultar en una evasión de seguridad. Afecta a las siguientes versiones:

• ColdFusion 2023 (Actualización 2 y versiones anteriores)
• ColdFusion 2021 (Actualización 8 y versiones anteriores), y
• ColdFusion 2018 (Actualización 18 y versiones anteriores)

«Adobe es consciente de que CVE-2023-38205 ha sido explotado de forma salvaje en ataques limitados dirigidos a Adobe ColdFusion», dijo la empresa. dicho.

La actualización también soluciona otras dos fallas, incluido un error crítico de deserialización (CVE-2023-38204puntaje CVSS: 9.8) que podría conducir a la ejecución remota de código y una segunda falla de control de acceso inapropiado que también podría allanar el camino para una omisión de seguridad (CVE-2023-38206puntuación CVSS: 5,3).

La divulgación llega días después de que Rapid7 advirtiera que la solución implementada para CVE-2023-29298 estaba incompleta y que los actores malintencionados podrían eludirla de manera trivial. La firma de ciberseguridad ha confirmado que el nuevo parche tapa completamente el agujero de seguridad.

CVE-2023-29298, una vulnerabilidad de omisión de control de acceso, se ha utilizado como arma en ataques del mundo real al encadenarlo con otra falla que se sospecha que es CVE-2023-38203 para colocar shells web en sistemas comprometidos para acceso de puerta trasera.

Se recomienda encarecidamente a los usuarios de Adobe ColdFusion que actualicen sus instalaciones a la última versión para mitigar posibles amenazas.