Kritická zraniteľnosť v produktoch Adobe ColdFusion

Spoločnosť Adobe vydala bezpečnostné aktualizácie, ktoré opravujú kritickú zraniteľnosť v produkte Adobe ColdFusion. CVE-2024-53961 možno zneužiť na získanie neoprávneného prístupu k citlivým údajom, ktoré možno následne zneužiť na realizáciu ďalších útokov a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

• Adobe ColdFusion 2023 vo verziách starších ako Update 12
• Adobe ColdFusion 2021 vo verziách starších ako Update 18

Opis zraniteľnosti:

CVE-2024-53961 (CVSS skóre 7,4)

Kritickú zraniteľnosť by vzdialený neautentifikovaný útočník mohol zneužiť na čítanie obsahu ľubovoľných súborov na súborovom systéme zraniteľných serverov, čím môže získať neoprávnený prístup k citlivým údajom.Na zraniteľnosť je v súčasnosti dostupný aj proof-of-concept kód demonštrujúci postup pre jej zneužitie a možno očakávať pokusy o jej aktívne zneužívanie.

Možné škody:

• Neoprávnený prístup k citlivým údajom

Odporúčania:

Odporúčame vykonať bezodkladnú aktualizáciu zasiahnutých systémov na verzie Adobe ColdFusion 2023 Update 12 a Adobe ColdFusion 2021 Update 18.

Adobe zároveň odporúča aplikovať konfiguráciu podľa svojich návodov pre ColdFusion 2023 a ColdFusion 2021.

Zdroje:

• https://helpx.adobe.com/security/products/coldfusion/apsb24-107.html
• https://www.bleepingcomputer.com/news/security/adobe-warns-of-critical-coldfusion-bug-with-poc-exploit-code/