Adobe выпустила внеплановые обновления безопасности для ColdFusion, чтобы устранить критическую уязвимость CVE-2024-53961, о которой известно наличие PoC-эксплойта. Уязвимость связана с обходом директорий и позволяет злоумышленникам получать доступ к произвольным файлам на серверах. Компания присвоила ей максимальный уровень серьезности «Priority 1», что указывает на высокий риск ее эксплуатации. Администраторам настоятельно рекомендуется установить обновления (ColdFusion 2021 Update 18 и ColdFusion 2023 Update 12) в течение 72 часов.
Adobe предупреждает, что уязвимость затрагивает версии ColdFusion 2023 и 2021. Дополнительно компания советует следовать инструкциям по безопасности, изложенным в руководствах по блокировке, и обновить фильтры сериализации для защиты от небезопасной десериализации Wddx. В то время как Adobe еще не подтвердила случаи эксплуатации данной уязвимости, CISA ранее подчеркивала важность устранения подобных угроз, особенно учитывая, что уязвимости обхода директорий остаются актуальными с 2007 года.
В прошлом году CISA активно призывала федеральные агентства к обновлению ColdFusion из-за критических уязвимостей, включая уязвимость нулевого дня. Одна из таких уязвимостей — CVE-2023-26360 — уже использовалась в атаках на устаревшие серверы, что привело к необходимости выпуска внеплановых обновлений. Как отметила компания Adobe, уязвимость CVE-2024-53961 может привести к произвольному чтению файловой системы.
В тексте своей рекомендации Adobe подчеркивает, что данная уязвимость несет более высокий риск атаки в реальных условиях и инициирует необходимость как можно более быстрого реагирования со стороны администраторов. “Adobe знает, что CVE-2024-53961 имеет известную проверку концепции”, — заявляют в компании, при этом рекомендуя установить экстренные обновления как можно скорее и ознакомиться с документами о конфигурации безопасности.
Американское агентство кибербезопасности CISA в мае обратило внимание разработчиков программного обеспечения на важность устранения уязвимостей обхода директорий перед выпуском новых продуктов, так как эти уязвимости могут быть использованы для кражи конфиденциальных данных. В связи с увеличением объемов вредоносного трафика и атак на уязвимости различных программных продуктов, в том числе ColdFusion, компании должны помнить о необходимости поддержания актуальности систем безопасности и скорейшего применения обновлений.