Эксперты оценили брешь как критическую и порекомендовали срочно обновить уязвимое ПО.

Агентство кибербезопасности США (CISA) добавило уязвимость с идентификатором CVE-2023-26359 в каталог известных используемых уязвимостей. Эксперты присвоили ей рейтинг серьёзности 9,8 из 10 по шкале CVSS из-за активной эксплуатации хакерами.

Уязвимость представляет собой ошибку десериализации данных в Adobe ColdFusion 2018 (до обновления 15 включительно) и Adobe ColdFusion 2021 (до обновления 5 включительно). Она позволяет злоумышленникам выполнять произвольный код на уязвимых системах.

Сериализация превращает объект в формат данных, который в конечном итоге может быть восстановлен позже, как в случае с JSON и XML и их сериализованными данными. десериализация — это обратный этому процессу процесс, при котором данные, структурированные в определённом формате, перестраиваются в объект.

Когда десериализация выполняется без проверки достоверности источника, это может привести к отказу в обслуживании или выполнению вредоносного кода.

Все критические уязвимости, способные привести к утечкам памяти, были исправлены ещё в марте. Пока неясно, как именно они используются хакерами, но сама Adobe утверждает, что это происходит в очень ограниченных сценариях атак.

Из-за активной эксплуатации федеральные гражданские ведомства США должны установить все необходимые патчи в срок до 11 сентября, чтобы защититься от потенциальных угроз.

Adobe рекомендует применить настройки безопасности, описанные в руководствах по безопасности ColdFusion, а также обновить JDK/JRE ColdFusion до последних версий LTS для JDK 11. Без соответствующего обновления JDK установка патча для ColdFusion не обеспечит безопасность сервера.

Источник: securitylab