Adobe ha recentemente rilasciato una nuova serie di aggiornamenti per correggere una correzione incompleta per una vulnerabilità rivelata di recente in ColdFusion, che è stato attivamente sfruttato in scenari reali.
CVE-2023-38205
Questo problema critico, identificato come CVE-2023-38205 con un punteggio CVSS di 7.5, è classificato come controllo di accesso improprio, rappresentando una potenziale minaccia di bypass della sicurezza. Le versioni interessate includono:
Fusione fredda 2023 (Aggiornamento 2 e versioni precedenti)
Fusione fredda 2021 (Aggiornamento 8 e versioni precedenti)
Fusione fredda 2018 (Aggiornamento 18 e versioni precedenti)
Secondo Adobe, sono a conoscenza di attacchi limitati mirati ad Adobe ColdFusion attraverso lo sfruttamento di CVE-2023-38205.
L'aggiornamento non solo risolve CVE-2023-38205, ma affronta anche altre due vulnerabilità. Uno di questi è un difetto di deserializzazione critico noto come CVE-2023-38204, Punteggio CVSS 9.8, che potrebbe portare a esecuzione di codice remoto. L'altra vulnerabilità, CVE-2023-38206, è anche correlato al controllo di accesso improprio (Punteggio CVSS 5.3) e potrebbe potenzialmente causare un bypass di sicurezza.
Cos'è Adobe ColdFusion?
Adobe ColdFusion è una piattaforma di sviluppo di applicazioni Web commerciale e un linguaggio di programmazione sviluppato da Adobe Systems (già Macromedia). Consente agli sviluppatori di creare siti Web dinamici, applicazioni web, e servizi Web consentendo una facile integrazione con database e altre tecnologie. ColdFusion è noto per le sue capacità di sviluppo rapido e offre un alto livello di produttività per la creazione di applicazioni Web ricche di funzionalità.
CVE-2023-29298
Luglio 11, 2023, sia Rapid7 che Adobe si sono uniti divulgazione su CVE-2023-29298, una vulnerabilità di bypass del controllo degli accessi che influisce su ColdFusion. Rapid7 aveva precedentemente segnalato questa vulnerabilità ad Adobe ad aprile 2023. La falla consente agli aggressori di aggirare la misura di sicurezza che limita l'accesso esterno all'amministratore di ColdFusion.
Al momento della loro divulgazione coordinata, sia Rapid7 che Adobe ritenevano che CVE-2023-29298 fosse stato corretto. Tuttavia, è importante notare che Rapid7 ha dichiarato esplicitamente di non aver testato la patch rilasciata da Adobe.
Pochi giorni dopo essere stato avvisato da Rapid7 della correzione incompleta per CVE-2023-29298, che potrebbe essere facilmente aggirato da individui malintenzionati, questa nuova rivelazione è stata fatta. La società di sicurezza informatica ha ora confermato che l'ultima patch risolve efficacemente il divario di sicurezza.
La vulnerabilità CVE-2023-29298, classificato come bypass del controllo degli accessi, è già stato sfruttato in attacchi nel mondo reale. In questi incidenti, gli aggressori l'hanno combinato con un altro presunto difetto, possibilmente CVE-2023-38203, per implementare web shell su sistemi compromessi e stabilire un accesso backdoor.
Per gli utenti di Adobe ColdFusion, si consiglia vivamente di aggiornare tempestivamente le proprie installazioni alla versione più recente come misura precauzionale contro potenziali minacce.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: