ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), 15 Mart’ta Adobe ColdFusion’u etkileyen bir güvenlik açığını, aktif istismar kanıtlarına dayanarak Bilinen Yararlanılan Güvenlik Açıkları (KEV) kataloğuna ekledi.
Söz konusu kritik kusur CVE-2023-26360’tır (CVSS puanı: 8.6).
CISA, “Adobe ColdFusion, uzaktan kod yürütülmesine izin veren uygunsuz bir erişim denetimi güvenlik açığı içeriyor” dedi.
Güvenlik açığı, ColdFusion 2018 (Güncelleme 15 ve önceki sürümler) ve ColdFusion 2021’i (Güncelleme 5 ve önceki sürümler) etkiler. 14 Mart 2023’te yayınlanan sırasıyla Güncelleme 16 ve Güncelleme 6 sürümlerinde ele alınmıştır.
CVE-2023-26360’ın ColdFusion 2016 ve ColdFusion 11 kurulumlarını da etkilediğini, ancak kullanım ömürlerinin sonuna (EoL) ulaştıklarından artık yazılım şirketi tarafından desteklenmediğini belirtmekte fayda var.
Saldırıların doğasını çevreleyen kesin ayrıntılar bilinmemekle birlikte, Adobe bir danışma belgesinde, kusurun “çok sınırlı saldırılarda vahşi ortamda sömürüldüğünün” farkında olduğunu söyledi.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
KOLTUĞUNUZU AYIRTIN
Federal Sivil Yürütme Şubesi (FCEB) kurumlarının, ağlarını potansiyel tehditlere karşı korumak için güncellemeleri 5 Nisan 2023’e kadar uygulamaları gerekmektedir.
Pete Freitag ile birlikte kusuru keşfeden ve bildiren bir güvenlik araştırmacısı olan Charlie Arehart, bunu “keyfi kod yürütme” ve “keyfi dosya sistemi okuması” ile sonuçlanabilecek “ciddi” bir sorun olarak nitelendirdi.