Adobe випустила патч для нової вразливості нульового дня ColdFusion

Adobe випустила невідкладне оновлення безпеки ColdFusion, яке виправляє критичні вразливості, включаючи вразливість нульового дня, яка використовувалася в атаках.

У рамках сьогоднішнього позачергового оновлення Adobe виправила три вразливості: критичну вразливість RCE, відзначену як CVE-2023-38204 (рейтинг 9,8), критичну вразливість несанкціонованого доступу, відзначену як CVE-2023-38205 (рейтинг 7,8) та помірну вразливість несанкціонованого доступу, відзначену як CVE-2023-38206 (рейтинг 5,3).

Хоча CVE-2023-38204 є найбільш критичною з виправлених на сьогодні, оскільки це помилка віддаленого виконання коду, вона не використовувалась на практиці.

Однак Adobe повідомляє, що вразливість CVE-2023-38205 була використана в обмеженій кількості атак.

“Adobe знає, що CVE-2023-38205 використовувалася в обмеженій кількості атак на Adobe ColdFusion”, – пояснюється в бюлетені безпеки Adobe.

Вразливість CVE-2023-38205 – це обхід патчу для виправлення CVE-2023-29298, обхід аутентифікації ColdFusion, виявлений 11 липня дослідником Rapid7 Стівеном Фьюером (Stephen Fewer).

13 липня команда Rapid7 помітила, як зловмисники з’єднали експлойти для CVE-2023-29298 і, як виявилося, CVE-2023-29300/CVE-2023-38203, щоб встановити веб-шелл на вразливі сервери ColdFusion для отримання віддаленого доступу до пристроїв.

Цього понеділка компанія Rapid7 встановила, що виправлення вразливості CVE-2023-29298 можна обійти, і повідомила про це Adobe.