La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha agregado una falla de seguridad crítica en Adobe ColdFusion a sus vulnerabilidades explotadas conocidas (KEV) catálogo, basado en evidencia de explotación activa.
La vulnerabilidad, catalogada como CVE-2023-26359 (Puntuación CVSS: 9,8), se relaciona con una falla de deserialización presente en Adobe ColdFusion 2018 (Actualización 15 y anteriores) y ColdFusion 2021 (Actualización 5 y anteriores) que podría resultar en la ejecución de código arbitrario en el contexto del usuario actual sin requerir ninguna interacción. .
deserialización (también conocido como desclasificación) se refiere al proceso de reconstruir una estructura de datos o un objeto a partir de un flujo de bytes. Pero cuando se realiza sin validar su fuente o desinfectar su contenido, puede llevar a consecuencias inesperadas como la ejecución de código o la denegación de servicio (DoS).
Fue parcheado por Adobe como parte de las actualizaciones publicadas en marzo de 2023. Al momento de escribir este artículo, no está claro de inmediato cómo se está solucionando la falla. abusado en la naturaleza.
Dicho esto, el desarrollo se produce más de cinco meses después de que CISA incluyera otra falla que afectaba al mismo producto (CVE-2023-26360) en el catálogo de KEV. Adobe dijo que es consciente de la debilidad que se está explotando en “ataques muy limitados” dirigidos a ColdFusion.
A la luz de la explotación activa, las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar los parches necesarios antes del 11 de septiembre de 2023 para proteger sus redes contra posibles amenazas.