Adobe ColdFusion-ի խոցելիությունն օգտագործվում է համատարած կերպով

Adobe ColdFusion-ի խոցելիությունն օգտագործվում է համատարած կերպով

Մարտի 15-ին, ԱՄՆ-ի Կիբերանվտանգության և Ենթակառուցվածքների Անվտանգության Գործակալությունը (CISA)  հիմնվելով ակտիվ շահագործման ապացույցների փաստի վրա, ավելացրեց անվտանգության ևս մեկ խոցելիություն Known Exploited Vulnerabilities (KEV) կատալոգում:

Քննարկվող խոցելիությունը CVE-2023-26360-նն է (CVSS score: 8.6), որը կարող է օգտագործվել սպառնալիքի հեղինակի կողմից՝ arbitrary code execution-ի համար:

«Adobe ColdFusion-ը պարունակում է մուտքի վերահսկման ոչ պատշաճ խոցելիություն, որը թույլ է տալիս remote կոդի կատարումը», – ասվում է CISA-ում:

Խոցելիությունն ազդում է ColdFusion 2018 շ (15-ի և ավելի վաղ տարբերակների թարմացում) և ColdFusion 2021 (5-ի և ավելի վաղ տարբերակների թարմացում) տարբերակների վրա: Այն հասցեագրված է՝ Update 16 և Update 6 տարբերակներին, որոնք թողարկվել են 2023 թվականի մարտի 14-ին:

Չնայած հարձակումների հետ կապված ճշգրիտ մանրամասները դեռևս անհայտ են, այնումենայնիվ Adobe-ը նշել է , որ տեղյակ է առկա խոցելիության մասին, ինչը «համատարած կերպով օգտագործվում է շատ սահմանափակ հարձակումներում»:

Անվտանգության գծով հետազոտող Չարլի Արեհարտն այն նկարագրեց որպես ներկայիս «ծանր» խնդիր, որը կարող է հանգեցնել «կամայական կոդի կատարման» և «կամայական ֆայլային համակարգի ընթերցման»:

Աղբյուրը՝  https://thehackernews.com/