Adobe, rastgele dosya sistemi okumasına yol açabilecek önemli bir güvenlik açığını gidermek amacıyla ColdFusion 2023 ve 2021 sürümleri için kritik bir güvenlik güncellemesi yayınladı.
Tanımlanan CVE-2024-53961 güvenlik açığı, bilinen bir kavram kanıtından yararlanıyor ve bu da güncellemeleri kullanıcılar için hayati önem taşıyor.
Bu sürüm, Adobe’nin ürünlerinin güvenliğini ve bütünlüğünü sağlama konusundaki kararlılığının altını çizmektedir.
Güvenlik Açığı Ayrıntıları
“Kısıtlı Dizine Giden Yol Adının Uygunsuz Şekilde Sınırlandırılması” (CWE-22) olarak sınıflandırılan güvenlik açığı, saldırganların hassas dosyalara erişmek için güvenlik kısıtlamalarını potansiyel olarak atlamasına olanak tanıyor.
Kritik doğası göz önüne alındığında, CVE-2024-53961 için CVSS Taban Puanı 7,4 olup, bu durum onu yüksek önem derecesine sahip bir sorun olarak sınıflandırmaktadır.
KOBİ’ler ve MSP’ler için 2024 MITRE ATT&CK Değerlendirme Sonuçları -> Ücretsiz Kılavuzu İndirin
Etkilenen sürümler şunları içerir:
| Ürün | Numarayı Güncelle | platformu |
|---|---|---|
| ColdFusion 2023 | Güncelleme 11 ve öncesi | Tüm |
| ColdFusion 2021 | Güncelleme 17 ve öncesi | Tüm |
Güvenlik açığı, kullanıcı etkileşimi veya önceden ayrıcalık gerektirmeden uzaktan kullanılabilir ve bu da tehdit potansiyelini önemli ölçüde artırır.
Adobe, CVE-2024-53961 ile ilişkili riskleri azaltmak için yeni güncellemeler yayınladı:
Adobe, bu yamalara en yüksek öneme sahip olduklarını belirten “1” Öncelik Derecesi verildiğinden, kullanıcıları derhal en son sürümlere güncelleme yapmaya teşvik eder.
Ayrıca şirket, güvenliği daha da artırmak için ColdFusion JDK/JRE’nin en son Uzun Süreli Destek (LTS) sürümüne yükseltilmesini öneriyor.
Adobe, sistemleri güvenli olmayan Wddx seri durumdan çıkarma saldırılarına karşı korumak için seri filtre belgelerini güncelledi.
Kullanıcıların, 2023 ve 2021 sürümleri için ColdFusion Güvenlik ve Kilitleme Kılavuzlarının yanı sıra güncellenen yönergeleri de incelemeleri önerilir.
Adobe, güvenlik araştırmacısı ma4ter’i bu güvenlik açığını bildirdiği ve ColdFusion kullanıcılarının korunmasına katkıda bulunduğu için kabul etti.
Adobe ayrıca HackerOne’da genel hata ödül programını öne çıkararak harici araştırmacıları gelecekteki güvenlik sorunları üzerinde işbirliği yapmaya davet ediyor.
Tam uyumluluk ve koruma sağlamak için ColdFusion kullanıcıları şunları yapmalıdır:
- Güncellenmiş JVM bayraklarını güncellenmiş güvenlik belgelerinde belirtildiği şekilde uygulayın.
- Adobe’nin güvenlik kaynaklarını ve ColdFusion Kilitleme Kılavuzlarını düzenli olarak inceleyin.
Adobe’nin CVE-2024-53961’e hızlı yanıtı, güvenlik açıklarına karşı dikkatli olduğunu bir kez daha doğruluyor. Kullanıcıların en son güncellemeleri yüklemek ve sistemlerini güvence altına almak için hemen harekete geçmeleri önemle tavsiye edilir.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin