CISA, CVE-2023-26359 olarak kataloglanan ve aktif istismar nedeniyle CVSS puanı 9.8 olan Bilinen Yararlanılan Güvenlik Açıkları Kataloğu’na bir güvenlik açığı ekledi.
Güvenlik açığı, Adobe ColdFusion 2018 (Güncelleme 15 ve öncesi) ve Adobe ColdFusion 2021’i (Güncelleme 5 ve öncesi) etkileyen bir seri kaldırma kusurudur ve rastgele kod yürütülmesine neden olma potansiyeline sahiptir.
Serileştirme bir nesneyi sonunda olabilecek bir veri formatına dönüştürür. JSON ve XML ve bunların seri hale getirilmiş verileri gibi daha sonra geri yüklendi. Seri kaldırma, bu işlemin tersidir; burada bazı formatlarda yapılandırılmış veriler bir nesneye yeniden inşa edildi. Güvenilir bir kaynak doğrulanmadan seri durumdan çıkarma gerçekleştiğinde, hizmet reddine veya kod yürütülmesine yol açabilir.
Kritik ve önemli olarak değerlendirilen ve bellek sızıntılarına yol açabilecek bu güvenlik açıkları Mart ayında yamalandı. Kusurun vahşi ortamda nasıl kullanıldığı belli değil, ancak Adobe bunun yalnızca “çok sınırlı saldırılarda” meydana geldiğini belirtiyor.
Bu aktif sömürü nedeniyle, Federal Sivil Yürütme Şubesi (FCEB) kurumlarının bir 11 Eylül Bu yamaları uygulamak ve potansiyel tehditlere karşı korunmak için son tarih.
Adobe, müşterilerin güvenlik yapılandırma ayarlarını “ColdFusion Güvenlik sayfasında belirtilen şekilde uygulamalarının yanı sıra ilgili Kilitleme kılavuzlarını incelemelerini” önerir. Ayrıca “ColdFusion JDK/JRE’nizi güncellemenizi” önerir. JDK 11 için LTS sürümlerinin en son sürümüne.” Bunun nedeni, karşılık gelen bir JDK güncellemesi olmadan ColdFusion güncellemesinin uygulanmasıdır. güvenli bir sunucuya izin vermez.
Adobe, CVE-2023-26359 güvenlik açığıyla ilgili sorunları bildirdiği için Patrick Vares’e teşekkür eder.