Adobe近期發(fā)布了緊急安全更新，針對ColdFusion中的一個關(guān)鍵漏洞，該漏洞已有概念驗證（PoC）代碼流出。根據(jù)周一的公告，這個編號為CVE-2024-53961的漏洞源于路徑遍歷弱點，影響了Adobe ColdFusion 2023和2021版本，攻擊者可借此讀取易受攻擊服務(wù)器上的任意文件。

Adobe指出，鑒于該漏洞已有可用的PoC代碼，可能導(dǎo)致任意文件系統(tǒng)讀取，因此將其評為“優(yōu)先級1”嚴(yán)重等級，警示用戶該漏洞面臨更高的被攻擊風(fēng)險。

Adobe建議管理員盡快安裝當(dāng)天發(fā)布的緊急安全補?。–oldFusion 2021更新18和ColdFusion 2023更新12），最好在72小時內(nèi)完成，并按照ColdFusion 2023和ColdFusion 2021鎖定指南中的安全配置設(shè)置進(jìn)行操作。

盡管Adobe尚未透露該漏洞是否已在野外被利用，但建議客戶查閱更新的串行過濾文檔，了解更多關(guān)于阻止不安全Wddx反序列化攻擊的信息。

今年5月，美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）曾警告軟件公司，在產(chǎn)品發(fā)布前應(yīng)消除路徑遍歷安全漏洞，因為攻擊者可利用這類漏洞訪問敏感數(shù)據(jù)，包括可用于暴力破解現(xiàn)有賬戶和入侵系統(tǒng)的憑證。

去年7月，CISA還要求聯(lián)邦機(jī)構(gòu)在8月10日前保護(hù)其Adobe ColdFusion服務(wù)器，防范兩個被利用的關(guān)鍵安全漏洞（CVE-2023-29298和CVE-2023-38205），其中一個為零日漏洞。

一年前，美國網(wǎng)絡(luò)安全局還披露，自2023年6月以來，黑客一直利用另一個關(guān)鍵的ColdFusion漏洞（CVE-2023-26360）入侵過時的政府服務(wù)器。從2023年3月起，該漏洞在“非常有限的攻擊”中被作為零日漏洞積極利用。

 來源：FreeBuf