Adobe 警告存在利用 PoC 漏洞的 ColdFusion 嚴重缺陷

Adobe 已發布帶外安全性更新來解決關鍵的 ColdFusion 漏洞，該漏洞具有公開的概念驗證 (PoC) 漏洞程式碼。

標識為 CVE-2024-53961（CVSS 評分：7.4）的漏洞源自路徑遍歷缺陷，該缺陷會影響 Adob​​e ColdFusion 版本 2023（Update 11 及更早版本）和 2021（Update 17 及更早版本）。

如果被利用，攻擊者可以透過未經授權的方式存取受感染伺服器上的任意文件，從而可能洩露資料。

「攻擊者可以利用此漏洞存取應用程式設定的受限目錄以外的檔案或目錄。這可能導致敏感資訊外洩或系統資料被操縱。NIST 諮詢讀。

對於不知道的人來說，ColdFusion 是一種應用程式伺服器和 Web 程式語言，可根據使用者輸入、資料庫查詢或其他條件與後端系統進行通信，從而促進動態網頁的建立。

Adobe 在聲明中表示：“Adobe 知道 CVE-2024-53961 有一個已知的概念驗證，可能會導致任意檔案系統讀取。”諮詢週一發布。

Adobe 已將該缺陷指定為「優先級 1」嚴重性評級，即最高級別，因為「對於給定的產品版本和平台，在野外被利用的風險較高」。

該公司已發布緊急安全修補程式（ColdFusion 2021 Update 18 和 ColdFusion 2023 Update 12）。它建議用戶「在 72 小時內」安裝這些補丁，以減輕與此嚴重缺陷相關的任何潛在安全風險。

此外，Adobe 建議用戶應用在冷聚變 2023和冷聚變 2021鎖定指南。

雖然 Adob​​e 尚未確認是否有任何主動利用漏洞的行為，但它已敦促用戶查看更新後的內容串行過濾器文檔以防止不安全的 WDDX 反序列化攻擊。