Adobe, vahşi ortamda aktif olarak sömürülen yakın zamanda ifşa edilmiş bir ColdFusion kusurunun tamamlanmamış bir düzeltmesini ele almak için yeni bir güncelleme dizisi yayınladı.
Kritik eksiklik, şu şekilde izlenir: CVE-2023-38205 (CVSS puanı: 7.5), bir güvenlik atlamasıyla sonuçlanabilecek bir uygunsuz erişim kontrolü örneği olarak tanımlanmıştır. Aşağıdaki sürümleri etkiler:
- ColdFusion 2023 (Güncelleme 2 ve önceki sürümler)
- ColdFusion 2021 (Güncelleme 8 ve önceki sürümler) ve
- ColdFusion 2018 (Güncelleme 18 ve önceki sürümler)
Şirket, “Adobe, CVE-2023-38205’in Adobe ColdFusion’u hedef alan sınırlı saldırılarda vahşi ortamda kullanıldığının farkındadır” dedi.
Güncelleme ayrıca, uzaktan kod yürütülmesine yol açabilecek kritik bir seriyi kaldırma hatası (CVE-2023-38204, CVSS puanı: 9.8) ve bir güvenlik atlamasına yol açabilecek ikinci bir uygunsuz erişim kontrolü hatası (CVE-2023-38206, CVSS puanı: 5.3) dahil olmak üzere diğer iki kusuru da giderir.
İçeriden Gelen Tehditlere Karşı Kalkan: SaaS Güvenlik Duruş Yönetiminde Ustalaşın
İçeriden gelen tehditler konusunda endişeli misiniz? Seni koruduk! SaaS Güvenlik Duruş Yönetimi ile pratik stratejileri ve proaktif güvenliğin sırlarını keşfetmek için bu web seminerine katılın.
Bugün katıl
Açıklama, Rapid7’nin CVE-2023-29298 için uygulamaya konulan düzeltmenin eksik olduğu ve kötü niyetli aktörler tarafından önemsiz bir şekilde gözden kaçabileceği konusunda uyarmasından günler sonra geldi. Siber güvenlik firması, yeni yamanın güvenlik açığını tamamen kapattığını onayladı.
Bir erişim denetimi baypas güvenlik açığı olan CVE-2023-29298, arka kapı erişimi için güvenliği ihlal edilmiş sistemlere web kabukları bırakmak üzere CVE-2023-38203 olduğundan şüphelenilen başka bir kusurla zincirlenerek gerçek dünyadaki saldırılarda silah haline getirildi.
Adobe ColdFusion kullanıcılarının, olası tehditleri azaltmak için kurulumlarını en son sürüme güncellemeleri önemle tavsiye edilir.