Af Eskil Sørensen, 15/03/23
Adobe advarer om, at der er fundet og rettet en kritisk 0-dags fejl i ColdFusion webapp-udviklingsplatform.
Det skriver Security Affairs i en artikel, hvor det også fremgår, at den pågældende sårbarhed ifølge Adobe er blevet udnyttet i ’meget begrænsede angreb’.
Adobe har udgivet opdateringer til version 2021 og 2018 af ColdFusion mhp. at rette fejlen, der med en score på 8,6 er alvorlig, men ikke alvorlig nok til at være kritisk, selv om den har været udnyttet. Det kræver en score på over 9 for at være ’kritisk’. Fejlen har id’et CVE-2023-26360.
Sårbarheden er en såkaldt ’Improper Access Control’. Dvs. adgangskontrollen er utilstrækkelig. Den kan gøre det muligt for en fjernangriber at afvikle vilkårlig kode. Sårbarheden kan også føre til vilkårlig filsystemlæsning og læk af hukommelse med sig.
Virksomheden har også rettet en kritisk fejl. Denne har id’et CVE-2023-26359 og en score på 9,8. Den kan føre afvikling af vilkårlig kode med sig.
I marts har Adobe udsendt otte patches, der adresserer i alt 105 sårbarheder i Photoshop, Experience Manager, Dimension, Commerce, Substance 3D Stager, Cloud Desktop Application og Illustrator.
Kun patchen til Cold Fusion angives som værende under aktiv udnyttelse.
Links:
https://securityaffairs.com/143479/security/adobe-cold-fusion-exploited-bug.html
https://www.securityweek.com/adobe-warns-of-very-limited-attacks-exploiting-coldfusion-zero-day/
https://helpx.adobe.com/security/products/coldfusion/apsb23-25.html