Adobe 近期发布了紧急安全更新,针对 ColdFusion 中的一个关键漏洞,该漏洞已有概念验证(PoC)代码流出。根据周一的公告,这个编号为 CVE-2024-53961 的漏洞源于路径遍历弱点,影响了 Adobe ColdFusion 2023 和 2021 版本,攻击者可借此读取易受攻击服务器上的任意文件。
Adobe 指出,鉴于该漏洞已有可用的 PoC 代码,可能导致任意文件系统读取,因此将其评为“优先级1”严重等级,警示用户该漏洞面临更高的被攻击风险。
Adobe 建议管理员尽快安装当天发布的紧急安全补丁(ColdFusion 2021 更新 18 和 ColdFusion 2023 更新 12),最好在 72 小时内完成,并按照 ColdFusion 2023 和 ColdFusion 2021 锁定指南中的安全配置设置进行操作。
尽管 Adobe 尚未透露该漏洞是否已在野外被利用,但建议客户查阅更新的串行过滤文档,了解更多关于阻止不安全 Wddx 反序列化攻击的信息。
今年 5 月,美国网络安全与基础设施安全局(CISA)曾警告软件公司,在产品发布前应消除路径遍历安全漏洞,因为攻击者可利用这类漏洞访问敏感数据,包括可用于暴力破解现有账户和入侵系统的凭证。
去年 7 月,CISA 还要求联邦机构在 8 月 10 日前保护其 Adobe ColdFusion 服务器,防范两个被利用的关键安全漏洞(CVE-2023-29298 和 CVE-2023-38205),其中一个为零日漏洞。
一年前,美国网络安全局还披露,自 2023 年 6 月以来,黑客一直利用另一个关键的 ColdFusion 漏洞(CVE-2023-26360)入侵过时的政府服务器。从 2023 年 3 月起,该漏洞在“非常有限的攻击”中被作为零日漏洞积极利用。
