Adobe выпустила экстренное обновление для ColdFusion, которое | SecAtor

Adobe выпустила экстренное обновление для ColdFusion, которое устраняет критические уязвимости, в том числе исправление для новой 0-day, используемой в реальных атаках.

Исправление устраняет три уязвимости: критическую RCE CVE-2023-38204 (с оценкой 9,8), критическую CVE-2023-38205 неправильного контроля доступа (с оценкой 7,8) и аналогичную CVE-2023-38206 (с оценкой 5,3).

Самая критичная CVE-2023-38204 еще не экспортировалась, в то время как CVE-2023-38205 была замечена Adobe в ограниченных атаках, нацеленных на ColdFusion.

Она представляет собой обходной патч для исправления CVE-2023-29298, обхода аутентификации ColdFusion, обнаруженного исследователями Rapid7 11 июля.

13 июля Rapid7 увидели, что злоумышленники объединяют эксплойты для CVE-2023-29298 и, как оказалось, недостатки CVE-2023-29300/CVE-2023-38203 для установки веб-оболочек на уязвимые серверы ColdFusion для получения удаленного доступа к устройствам.

Как оказалось исправление уязвимости CVE-2023-29298 можно было обойти, о чем Rapid7 и сообщили в Adobe. Тривиально модифицированный эксплойт все еще работал на последней версии ColdFusion (выпущенной 14 июля).

В свою очередь, Adobe подтвердила, что исправление CVE-2023-29298 включено в APSB23-47 как исправление CVE-2023-38205.

Поскольку эта уязвимость активно используется в атаках для получения контроля над серверами ColdFusion, настоятельно рекомендуется установить обновление как можно скорее.