ԱՄՆ Կիբերանվտանգության և ենթակառուցվածքների անվտանգության գործակալությունը (CISA), հիմնվելով ակտիվ շահագործման ապացույցների վրա, Adobe ColdFusion-ի անվտանգության իր հայտնի շահագործվող խոցելիությունների (KEV) կատալոգում ավելացրել է նոր խոցելիություն:
Խոցելիությունը, որը որակվում է որպես CVE-2023-26359 (CVSS-ում միավորը՝ 9.8), վերաբերում է Adobe ColdFusion 2018-ին (15 և ավելի նոր տարբերակներում) և ColdFusion 2021-ին:
Deserialization-ը (aka unmarshaling) վերաբերում է byte stream-ից տվյալների կառուցվածքի կամ օբյեկտի վերակառուցման գործընթացին: Բայց երբ այն իրականացվում է առանց դրա աղբյուրը վավերացնելու կամ դրա բովանդակությունը մաքրելու, կարող է հանգեցնել անսպասելի հետևանքների, ինչպիսիք են կոդի կատարումը կամ denial-of-service (DoS)-ը:
Կիրառման ընթացքը տրվեց այն ժամանակ, երբ CISA-ն հայտնաբերեց ևս մեկ խոցելիություն, որն ազդում էր KEV կատալոգում առկա (CVE-2023-26360)-ի վրա: Adobe-ի փոխանցմամբ, նրանք տեղյակ են ColdFusion-ի դեմ ուղղված «շատ սահմանափակ գրոհների» չարաշահման մասին:
Federal Civilian Executive Branch (FCEB)-ը պարտավոր է մինչև 2023 թվականի սեպտեմբերի 11-ը կիրառել անհրաժեշտ ու համապատասխան միջոցներ և թարմացումներ՝ իրենց ցանցերը հնարավոր սպառնալիքներից պաշտպանելու համար:
Աղբյուրը՝ https://thehackernews.com/
