La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el 15 de marzo agregado una vulnerabilidad de seguridad que afecta a Adobe ColdFusion en su catálogo de vulnerabilidades conocidas explotadas (KEV), según la evidencia de explotación activa.
El defecto crítico en cuestión es CVE-2023-26360 (puntuación CVSS: 8.6), que podría ser explotado por un actor de amenazas para lograr la ejecución de código arbitrario.
«Adobe ColdFusion contiene una vulnerabilidad de control de acceso inadecuado que permite la ejecución remota de código», CISA dicho.
La vulnerabilidad afecta a ColdFusion 2018 (Actualización 15 y versiones anteriores) y ColdFusion 2021 (Actualización 5 y versiones anteriores). Se ha abordado en las versiones Update 16 y Update 6, respectivamente, lanzadas el 14 de marzo de 2023.
Vale la pena señalar que CVE-2023-26360 también afecta las instalaciones de ColdFusion 2016 y ColdFusion 11, las cuales ya no son compatibles con la compañía de software porque tienen alcanzó fin de vida (EoL).
Si bien se desconocen los detalles exactos sobre la naturaleza de los ataques, Adobe dicho en un aviso que es consciente de que la falla está siendo «explotada en la naturaleza en ataques muy limitados».
Descubra los peligros ocultos de las aplicaciones SaaS de terceros
¿Conoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa? Únase a nuestro seminario web para conocer los tipos de permisos que se otorgan y cómo minimizar el riesgo.
Las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar las actualizaciones antes del 5 de abril de 2023 para proteger sus redes contra amenazas potenciales.
Charlie Arehart, un investigador de seguridad al que se atribuye el descubrimiento y la notificación de la falla junto con Pete Freitag, descrito como un problema «grave» que podría resultar en «ejecución de código arbitrario» y «lectura arbitraria del sistema de archivos».