アドビは最近、ColdFusion で最近明らかになった脆弱性に対する不完全な修正を修正するための新しいアップデート セットを発行しました。, 現実世界のシナリオで積極的に活用されています.
CVE-2023-38205
この重大な問題は, CVE-2023-38205 として識別され、CVSS スコアは次のとおりです。 7.5, 不適切なアクセス制御として分類される, 潜在的なセキュリティバイパスの脅威をもたらす. 影響を受けるバージョンには次のものがあります。:
コールドフュージョン 2023 (アップデート 2 および以前のバージョン)
コールドフュージョン 2021 (アップデート 8 および以前のバージョン)
コールドフュージョン 2018 (アップデート 18 および以前のバージョン)
アドビによると, 彼らは、CVE-2023-38205 を悪用した Adobe ColdFusion をターゲットとした限定的な攻撃を認識しています。.
このアップデートでは CVE-2023-38205 に対処するだけでなく、他の 2 つの脆弱性にも対処します。. そのうちの 1 つは、CVE-2023-38204 として知られる重大な逆シリアル化の欠陥です。, CVSSスコア 9.8, それは次のことにつながる可能性があります リモートコード実行. もう一つの脆弱性, CVE-2023-38206, 不適切なアクセス制御にも関連しています (CVSSスコア 5.3) セキュリティバイパスが発生する可能性があります.
Adobe ColdFusion とは?
Adobe ColdFusion は、Adobe Systems によって開発された商用 Web アプリケーション開発プラットフォームおよびプログラミング言語です。 (以前はマクロメディア). 開発者は動的な Web サイトを構築できます, ウェブアプリケーション, データベースや他のテクノロジーとの簡単な統合を可能にすることで、Web サービスとの連携を強化します。. ColdFusion は迅速な開発機能で知られており、機能豊富な Web アプリケーションを作成するための高レベルの生産性を提供します。.
CVE-2023-29298
7月に 11, 2023, Rapid7 と Adobe の両方が共同で開発しました 開示 CVE-2023-29298 について, ColdFusion に影響を与えるアクセス制御バイパスの脆弱性. Rapid7 はこの脆弱性を 4 月に Adobe に報告していました。 2023. この欠陥により、攻撃者は ColdFusion Administrator への外部アクセスを制限するセキュリティ対策を回避できます。.
協調的な開示の時点で, Rapid7 と Adobe はどちらも CVE-2023-29298 が修正されたと信じていました. でも, Rapid7 は、Adobe がリリースしたパッチをテストしていないと明確に述べていることに注意することが重要です。.
Rapid7 から CVE-2023-29298 の不完全な修正について警告されてから数日後, 悪意のある個人によって簡単に回避される可能性があります, この新たな開示がなされました. サイバーセキュリティ会社は、最新のパッチがセキュリティのギャップに効果的に対処していることを確認しました。.
脆弱性 CVE-2023-29298, アクセス制御バイパスとして分類される, すでに現実世界の攻撃で悪用されている. こういった事件では, 攻撃者はそれを別の疑わしい欠陥と組み合わせました, おそらく CVE-2023-38203, 侵害されたシステムに Web シェルを展開し、バックドア アクセスを確立する.
Adobe ColdFusion ユーザー向け, 潜在的な脅威に対する予防措置として、インストールを直ちに最新バージョンに更新することを強くお勧めします。.