Adobe 警告稱存在利用 PoC 漏洞的 ColdFusion 嚴重缺陷

Adobe 已發布帶外安全更新來解決關鍵的 ColdFusion 漏洞，該漏洞具有公開的概念驗證 (PoC) 漏洞利用代碼。

標識為 CVE-2024-53961（CVSS 評分：7.4）的漏洞源自路徑遍歷缺陷，該缺陷影響 Adob​​​​e ColdFusion 版本 2023（Update 11 及更早版本）和 2021（Update 17 及更早版本）。

如果被利用，攻擊者可以通過未經授權的方式訪問受感染服務器上的任意文件，從而可能洩露數據。

“攻擊者可以利用此漏洞訪問應用程序設置的受限目錄之外的文件或目錄。這可能導致敏感信息洩露或系統數據被操縱。”NIST 諮詢讀。

對於那些不知道的人來說，ColdFusion 是一種應用程序服務器和 Web 編程語言，可根據用戶輸入、數據庫查詢或其他條件與後端系統進行通信，從而促進動態網頁的創建。

Adobe 在一份聲明中表示：“Adobe 知道 CVE-2024-53961 有一個已知的概念驗證，可能會導致任意文件系統讀取。”諮詢週一發布。

Adobe 已將該缺陷指定為“優先級 1”嚴重性評級，即最高級別，因為“對於給定的產品版本和平台，在野外被利用的風險較高”。

該公司已發布緊急安全補丁（ColdFusion 2021 Update 18 和 ColdFusion 2023 Update 12）。它建議用戶“在 72 小時內”安裝這些補丁，以減輕與此嚴重缺陷相關的任何潛在安全風險。

此外，Adobe 建議用戶應用在冷聚變 2023和冷聚變 2021鎖定指南。

雖然 Adob​​​​e 尚未確認是否有任何主動利用該漏洞的行為，但它已敦促用戶查看更新後的內容串行過濾器文檔以防止不安全的 WDDX 反序列化攻擊。