A Adobe lançou recentemente um novo conjunto de atualizações para corrigir uma correção incompleta para uma vulnerabilidade recentemente revelada no ColdFusion, que tem sido ativamente explorado em cenários do mundo real.
CVE-2023-38205
Este problema crítico, identificado como CVE-2023-38205 com uma pontuação CVSS de 7.5, é categorizado como controle de acesso impróprio, representando uma possível ameaça de desvio de segurança. As versões afetadas incluem:
Fusão a frio 2023 (Atualizar 2 e versões anteriores)
Fusão a frio 2021 (Atualizar 8 e versões anteriores)
Fusão a frio 2018 (Atualizar 18 e versões anteriores)
De acordo com Adobe, eles estão cientes de ataques limitados direcionados ao Adobe ColdFusion por meio da exploração de CVE-2023-38205.
A atualização não apenas aborda o CVE-2023-38205, mas também aborda duas outras vulnerabilidades. Um deles é uma falha crítica de desserialização conhecida como CVE-2023-38204, pontuação CVSS 9.8, que poderia levar a execução remota de código. A outra vulnerabilidade, CVE-2023-38206, também está relacionado ao controle de acesso impróprio (pontuação CVSS 5.3) e pode potencialmente resultar em um desvio de segurança.
O que é Adobe ColdFusion?
Adobe ColdFusion é uma plataforma comercial de desenvolvimento de aplicativos da Web e linguagem de programação desenvolvida pela Adobe Systems (anteriormente Macromedia). Ele permite que os desenvolvedores criem sites dinâmicos, Aplicativos da web, e serviços da web, permitindo fácil integração com bancos de dados e outras tecnologias. O ColdFusion é conhecido por seus recursos de desenvolvimento rápido e oferece um alto nível de produtividade para a criação de aplicativos da Web ricos em recursos.
CVE-2023-29298
Em julho 11, 2023, Rapid7 e Adobe fizeram uma parceria divulgação sobre CVE-2023-29298, uma vulnerabilidade de desvio de controle de acesso que afeta o ColdFusion. Rapid7 já havia relatado esta vulnerabilidade para a Adobe em abril 2023. A falha permite que os invasores contornem a medida de segurança que restringe o acesso externo ao ColdFusion Administrator.
No momento de sua divulgação coordenada, Rapid7 e Adobe acreditavam que o CVE-2023-29298 havia sido corrigido. Contudo, é importante observar que o Rapid7 afirmou explicitamente que não havia testado o patch lançado pela Adobe.
Apenas alguns dias depois de ser avisado pelo Rapid7 sobre a correção incompleta do CVE-2023-29298, que poderia ser facilmente contornado por indivíduos mal-intencionados, esta nova divulgação foi feita. A empresa de segurança cibernética agora confirmou que o patch mais recente aborda efetivamente a lacuna de segurança.
A vulnerabilidade CVE-2023-29298, classificado como um desvio de controle de acesso, já foi explorado em ataques do mundo real. Nestes incidentes, os invasores o combinaram com outra falha suspeita, possivelmente CVE-2023-38203, para implantar web shells em sistemas comprometidos e estabelecer acesso backdoor.
Para usuários do Adobe ColdFusion, é altamente recomendável atualizar imediatamente suas instalações para a versão mais recente como medida de precaução contra possíveis ameaças.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: