美国CISA将AdobeColdFusion的高危漏洞CVE-2023-26359列入已知利用,影响多个版本,无需交互即可执行任意代码。CISA要求联邦机构在9月前安装补丁。奇安信代码卫士提供相关产品保障。
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
美国网络安全和基础设施安全局 (CISA) 将Adobe ColdFusion 中的一个严重漏洞 (CVE-2023-26359) 列入“已知利用漏洞”分类中。
该漏洞的CVSS 评分为9.8,与Adobe ColdFusion 2018(Update 15及更早版本)和 ColdFusion 2021(Update 5及更早版本)中的一个反序列化漏洞有关,无需任何交互,攻击者就可在当前用户上下文中执行任意代码。
反序列化即从字节流中重建数据结构或对象的过程。但如果是在未验证来源或清理内容的情况下执行,则可导致异常后果如代码执行或拒绝服务。Adobe 公司已在2023年3月修复。截止目前尚不清楚该漏洞如何遭在野利用。
话虽如此,五个月前,CISA 曾将影响该产品的另外一个漏洞 (CVE-2023-26360)加入必修清单。Adobe 公司表示已注意到该漏洞被用于针对 ColdFusion 的“非常有限的攻击”中。
鉴于遭活跃利用,CISA要求联邦民事行政部门 (FCEB) 机构在2023年9月11日前应用必要补丁,保护网络免受潜在威胁。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
严重的 ColdFusion 缺陷被用于释放 webshell
CISA紧急提醒:Adobe ColdFusion漏洞已遭在野利用
十多年前的 Adobe ColdFusion 漏洞被用于勒索攻击
马上更新!严重的 ColdFusion 0day 漏洞已遭在野利用
原文链接
https://thehackernews.com/2023/08/critical-adobe-coldfusion-flaw-added-to.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
扫一扫
171
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
