Falha Crítica do Adobe ColdFusion Adicionada ao Catálogo de Vulnerabilidade Explorada da CISA
22 de Agosto de 2023

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma falha de segurança crítica no Adobe ColdFusion ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), com base em evidências de exploração ativa.

A vulnerabilidade, catalogada como CVE-2023-26359 (pontuação CVSS: 9.8), está relacionada a uma falha de desserialização presente na Adobe ColdFusion 2018 (Atualização 15 e anteriores) e ColdFusion 2021 (Atualização 5 e anteriores) que poderia resultar na execução arbitrária de código no contexto do usuário atual sem necessidade de qualquer interação.

Desserialização (também conhecida como desgravação) se refere ao processo de reconstrução de uma estrutura de dados ou objeto a partir de um fluxo de bytes.

Mas, quando é realizado sem validar sua origem ou sanear seu conteúdo, pode levar a consequências inesperadas, como execução de código ou negação de serviço (DoS).

Foi corrigido pela Adobe como parte das atualizações emitidas em março de 2023.

Até o momento da escrita, não está imediatamente claro como a falha está sendo abusada.

Dito isto, o desenvolvimento vem mais de cinco meses depois que a CISA colocou outra falha que afeta o mesmo produto ( CVE-2023-26360 ) no catálogo KEV.

Adobe disse que está ciente da vulnerabilidade sendo explorada em "ataques muito limitados" direcionados ao ColdFusion.

Em vista da exploração ativa, as agências do Poder Executivo Civil Federal (FCEB) são obrigadas a aplicar os patches necessários até 11 de setembro de 2023, para proteger suas redes de ameaças em potencial.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...