A Adobe anunciou o lançamento de atualizações de segurança não programadas para resolver uma vulnerabilidade crítica no ColdFusion ( CVE-2024-53961 ), para a qual já existe uma exploração PoC. O problema é causado por uma vulnerabilidade de passagem de diretório que permite que invasores leiam arquivos arbitrários em servidores vulneráveis.
Leia também
Vulnerabilidades no Windows e Adobe ColdFusion
Duas fallhas no Adobe ColdFusion vêm sendo exploradas
A vulnerabilidade afeta as versões 2023 e 2021 do ColdFusion. A empresa atribuiu-lhe uma classificação de gravidade de “Prioridade 1”, indicando um alto risco de exploração real. A emissão recebeu classificação CVSS de 7,4. Os administradores são aconselhados a instalar atualizações de segurança (ColdFusion 2021 Update 18 e ColdFusion 2023 Update 12) dentro de 72 horas.
Além disso, a Adobe recomenda que você defina suas configurações de segurança de acordo com as diretrizes de bloqueio do ColdFusion 2023 e 2021 e atualize seus filtros de serialização para proteção contra ataques de desserialização Wddx inseguros.
Embora a empresa não tenha confirmado que a vulnerabilidade foi explorada, a CISA alertou anteriormente sobre a importância de abordar tais questões. As vulnerabilidades de passagem de diretório, conhecidas desde 2007, continuam relevantes, permitindo que invasores obtenham acesso a dados confidenciais, incluindo credenciais.
No ano passado, a CISA já exigia que as agências federais atualizassem o ColdFusion para resolver vulnerabilidades críticas, incluindo a exploração de vulnerabilidades de dia zero. Entre elas está a vulnerabilidade CVE-2023-26360, que foi usada ativamente para ataques a servidores desatualizados.