ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), aktif istismar kanıtlarına dayanarak, Adobe ColdFusion’daki Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna kritik bir güvenlik açığı ekledi.
Güvenlik açığı, şu şekilde kataloglanmıştır: CVE-2023-26359 (CVSS puanı: 9.8), Adobe ColdFusion 2018 (Güncelleme 15 ve öncesi) ve ColdFusion 2021’de (Güncelleme 5 ve öncesi) bulunan ve herhangi bir etkileşim gerektirmeden mevcut kullanıcı bağlamında rasgele kod yürütülmesine neden olabilecek bir seri kaldırma kusuruyla ilgilidir. .
Seri hale getirme (diğer adıyla unmarshaling), bir bayt akışından bir veri yapısını veya bir nesneyi yeniden oluşturma sürecini ifade eder. Ancak kaynağını doğrulamadan veya içeriğini temizlemeden gerçekleştirildiğinde, kod yürütme veya hizmet reddi (DoS) gibi beklenmeyen sonuçlara yol açabilir.
Mart 2023’te yayınlanan güncellemelerin bir parçası olarak Adobe tarafından yamalandı. Yazım itibariyle, kusurun vahşi doğada nasıl kötüye kullanıldığı hemen belli değil.
Bununla birlikte, geliştirme, CISA’nın aynı ürünü (CVE-2023-26360) etkileyen başka bir kusuru KEV kataloğuna yerleştirmesinden beş aydan uzun bir süre sonra geldi. Adobe, ColdFusion’a yönelik “çok sınırlı saldırılarda” istismar edilen zayıflığın farkında olduğunu söyledi.
Aktif istismar ışığında, Federal Sivil Yürütme Şubesi (FCEB) kurumlarının ağlarını potansiyel tehditlere karşı korumak için 11 Eylül 2023’e kadar gerekli yamaları uygulamaları gerekmektedir.