L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajoutée une faille de sécurité critique dans Adobe ColdFusion à ses vulnérabilités exploitées connues (KEV), fondé sur des preuves d’exploitation active.
La vulnérabilité, cataloguée comme CVE-2023-26359 (score CVSS : 9,8), concerne une faille de désérialisation présente dans Adobe ColdFusion 2018 (Mise à jour 15 et antérieure) et ColdFusion 2021 (Mise à jour 5 et antérieure) qui pourrait entraîner l’exécution de code arbitraire dans le contexte de l’utilisateur actuel sans nécessiter aucune interaction .
Désérialisation (alias unmarshaling) fait référence au processus de reconstruction d’une structure de données ou d’un objet à partir d’un flux d’octets. Mais lorsqu’elle est effectuée sans valider sa source ni assainir son contenu, elle peut conduire à conséquences inattendues tels que l’exécution de code ou le déni de service (DoS).
C’était patché par Adobe dans le cadre des mises à jour publiées en mars 2023. Au moment de la rédaction, il n’est pas clair immédiatement comment la faille est corrigée. maltraité dans la nature.
Cela dit, le développement intervient plus de cinq mois après que CISA a placé une autre faille affectant le même produit (CVE-2023-26360) dans le catalogue KEV. Adobe a déclaré être conscient de la faiblesse exploitée dans des « attaques très limitées » visant ColdFusion.
À la lumière de l’exploitation active, les agences du pouvoir exécutif civil fédéral (FCEB) sont tenues d’appliquer les correctifs nécessaires d’ici le 11 septembre 2023 pour protéger leurs réseaux contre les menaces potentielles.