- Adobe、ColdFusion の 2 つのバージョンで見つかった欠陥にパッチを適用
- PoC が利用可能であるため、できるだけ早くパッチを適用するようユーザーに警告しました。
- このバグを利用して、重大な問題を作成または上書きすることができます。
Adobe は、Web アプリケーション、API、およびソフトウェアを構築するための高速開発プラットフォームである ColdFusion の 2 つのバージョンで見つかった高重大度の脆弱性を修正しました。
この脆弱性は CVE-2024-53961 として追跡されており、パス トラバーサルの欠陥として説明されており、ColdFusion バージョン 2021 および 2023 に影響します。
重大度スコアは 7.4 (高) であり、CWE によると、プログラムやライブラリなどのコードの実行に使用される重要なファイルの作成または上書きに使用される可能性があるとのことです。
できるだけ早くパッチを適用してください
「攻撃者はこの脆弱性を悪用して、アプリケーションによって設定された制限されたディレクトリの外にあるファイルまたはディレクトリにアクセスする可能性があります」と NIST は説明しています。 「機密情報の漏洩やシステムデータの操作につながる可能性があります。」
これも理論的ではありません。によると ピーピーコンピュータ、概念実証 (PoC) エクスプロイト コードはすでに利用可能です。
「Adobe は、CVE-2024-53961 には任意のファイル システムの読み取りを引き起こす可能性がある既知の概念実証があることを認識しています」と Adobe はセキュリティ勧告の中で述べ、同出版物は強調した。同社はこのバグの重大度を「優先度 1」としているが、これは「特定の製品バージョンとプラットフォームで悪用されるリスクが高い」ためである。
アドビはユーザーに対し、指定されたパッチを直ちに、できれば72時間以内に適用するよう呼び掛けた。 ColdFusion 2021 の場合は Update 18、ColdFusion 2023 の場合は Update 12 です。
PoC は利用可能ですが、この脆弱性が実際に実際に悪用されているかどうかはわかりません。米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は既知の悪用された脆弱性(KEV)カタログにこれを追加していないようだが、これは悪用の証拠がまだ見つかっていないことを示している可能性がある。
しかし、サイバー犯罪者は、多くの組織がパッチ適用に関してそれほど熱心ではないことを知っており、ゼロデイを探すのではなく既知の欠陥を狙うことがよくあります。また、PoC がすでに利用可能であるため、攻撃を仕掛けることは簡単にできる可能性があります。
経由 ピーピーコンピュータ
