Adobe ColdFusion-fejl udnyttes som en 0-dag

CISA advarer om fejl i Coldfusion.

CISA har tilføjet en den nyligt opdaterede kritiske sårbarhed Adobe ColdFusion version 2021 og 2018 til sit katalog over sikkerhedsfejl.

Der er tale om en fejl, der blev kendt i offentligheden ifm. Adobes Patch Tuesday den anden tirsdag i måneden, hvor det blev meldt ud, at Adobe havde kendskab til udnyttelser i meget begrænsede angreb. Det skriver Bleeping Computer og en række andre medier.

Fejlen har id’et CVE-2023-26360 og en score på 8,6. Den skyldes en svaghed i ukorrekt adgangskontrol, og den kan misbruges eksternt af uautoriserede angribere i angreb med lav kompleksitet. Det vil sige, at den ikke kræver interaktion fra brugeren.

Der findes opdateringer til ColdFusion 2018 og 2021, men ikke til ColdFusion 2016- og ColdFusion 11-installationer, da de har nået end-of-life. 

Administratorer rådes til at installere sikkerhedsopdateringerne så hurtigt som muligt, mens CISA har givet føderale myndigheder i USA tre uger til at håndtere sårbarheden. 

At CISA allerede et par dage efter offentliggørelsen sætter sårbarheden på KEV-listen er et udtryk for, at løsningen er bredt anvendt og derfor et oplagt mål for trusselsaktører. Der har siden etableringen af KEV-kataloget i 2020 været fem sårbarheder i Adobe ColdFusion i kataloget.

Adobe ColdFusion er en platform til udvikling af webapplikationer.

Links:

https://www.bleepingcomputer.com/news/security/cisa-warns-of-adobe-coldfusion-bug-exploited-as-a-zero-day/

 https://sensorstechforum.com/cve-2023-26360-adobe-coldfusion/  

https://thehackernews.com/2023/03/cisa-issues-urgent-warning-adobe.html