Adobe 公司警告用戶 ColdFusion應用程式開發平台存在一個嚴重的預先身份驗證遠端程式碼執行漏洞,追蹤為 CVE-2023-29300(CVSS 評分 9.8),目前可能正被網路威脅攻擊者大肆利用。
Adobe 發布的聲明表示,CVE-2023-29300 漏洞由 CrowdStrike公司發現。Adobe 已經發現 CVE-2023-29300 在針對 Adobe ColdFusion 的非常有限攻擊中被野外利用。
未經認證的訪問者可以利用該漏洞在易受攻擊的Coldfusion 2018、2021 和 2023 伺服器上遠端執行命令。 目前,Adobe 沒有透露關於 CVE-2023-29300 更多的技術細節,也沒有透露威脅攻擊者在野外利用它的方式。
Adobe 本次總共解決在 ColdFusion 中的三個漏洞:
- CVE-2023-29298 (CVSS: 7.5) 存取控制不當漏洞:安全功能繞過
- CVE-2023-29300 (CVSS: 9.8) 不信任數據的反序列化:任意程式碼執行
- CVE-2023-29301 (CVSS: 5.9) 過多身份驗證嘗試的不當限制:安全功能繞過
2023 年 3 月,美國網路安全和基礎設施安全局(CISA)將 Adobe ColdFusion中關鍵漏洞 CVE-2023-26360(CVSS評分:8.6)添加到已知被利用漏洞目錄中。CVE-2023-26360 漏洞屬於不當存取控制,可允許遠端攻擊者執行任意程式碼,該漏洞還可能導致任意檔案系統讀取和記憶體洩漏。
本文轉載自Securityaffairs。