Adobe 已发布带外安全更新来解决关键的 ColdFusion 漏洞,该漏洞具有公开的概念验证 (PoC) 漏洞利用代码。
标识为 CVE-2024-53961(CVSS 评分:7.4)的漏洞源自路径遍历缺陷,该缺陷影响 Adobe ColdFusion 版本 2023(Update 11 及更早版本)和 2021(Update 17 及更早版本)。
如果被利用,攻击者可以通过未经授权的方式访问受感染服务器上的任意文件,从而可能泄露数据。
“攻击者可以利用此漏洞访问应用程序设置的受限目录之外的文件或目录。这可能导致敏感信息泄露或系统数据被操纵。”NIST 咨询读。
对于那些不知道的人来说,ColdFusion 是一种应用程序服务器和 Web 编程语言,可根据用户输入、数据库查询或其他条件与后端系统进行通信,从而促进动态网页的创建。
Adobe 在一份声明中表示:“Adobe 知道 CVE-2024-53961 有一个已知的概念验证,可能会导致任意文件系统读取。”咨询周一发布。
Adobe 已将该缺陷指定为“优先级 1”严重性评级,即最高级别,因为“对于给定的产品版本和平台,在野外被利用的风险较高”。
该公司已发布紧急安全补丁(ColdFusion 2021 Update 18 和 ColdFusion 2023 Update 12)。它建议用户“在 72 小时内”安装这些补丁,以减轻与此严重缺陷相关的任何潜在安全风险。
此外,Adobe 建议用户应用在冷聚变 2023和冷聚变 2021锁定指南。
虽然 Adobe 尚未确认是否有任何主动利用该漏洞的行为,但它已敦促用户查看更新后的内容串行过滤器文档以防止不安全的 WDDX 反序列化攻击。
