Մարտի 15-ին, ԱՄՆ-ի Կիբերանվտանգության և Ենթակառուցվածքների Անվտանգության Գործակալությունը (CISA) հիմնվելով ակտիվ շահագործման ապացույցների փաստի վրա, ավելացրեց անվտանգության ևս մեկ խոցելիություն Known Exploited Vulnerabilities (KEV) կատալոգում:
Քննարկվող խոցելիությունը CVE-2023-26360-նն է (CVSS score: 8.6), որը կարող է օգտագործվել սպառնալիքի հեղինակի կողմից՝ arbitrary code execution-ի համար:
«Adobe ColdFusion-ը պարունակում է մուտքի վերահսկման ոչ պատշաճ խոցելիություն, որը թույլ է տալիս remote կոդի կատարումը», – ասվում է CISA-ում:
Խոցելիությունն ազդում է ColdFusion 2018 շ (15-ի և ավելի վաղ տարբերակների թարմացում) և ColdFusion 2021 (5-ի և ավելի վաղ տարբերակների թարմացում) տարբերակների վրա: Այն հասցեագրված է՝ Update 16 և Update 6 տարբերակներին, որոնք թողարկվել են 2023 թվականի մարտի 14-ին:
Չնայած հարձակումների հետ կապված ճշգրիտ մանրամասները դեռևս անհայտ են, այնումենայնիվ Adobe-ը նշել է , որ տեղյակ է առկա խոցելիության մասին, ինչը «համատարած կերպով օգտագործվում է շատ սահմանափակ հարձակումներում»:
Անվտանգության գծով հետազոտող Չարլի Արեհարտն այն նկարագրեց որպես ներկայիս «ծանր» խնդիր, որը կարող է հանգեցնել «կամայական կոդի կատարման» և «կամայական ֆայլային համակարգի ընթերցման»:
Աղբյուրը՝ https://thehackernews.com/
