Falha Crítica do Adobe ColdFusion Adicionada ao Catálogo de Vulnerabilidade Explorada da CISA
22 de Agosto de 2023

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma falha de segurança crítica no Adobe ColdFusion ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), com base em evidências de exploração ativa.

A vulnerabilidade, catalogada como CVE-2023-26359 (pontuação CVSS: 9.8), está relacionada a uma falha de desserialização presente na Adobe ColdFusion 2018 (Atualização 15 e anteriores) e ColdFusion 2021 (Atualização 5 e anteriores) que poderia resultar na execução arbitrária de código no contexto do usuário atual sem necessidade de qualquer interação.

Desserialização (também conhecida como desgravação) se refere ao processo de reconstrução de uma estrutura de dados ou objeto a partir de um fluxo de bytes.

Mas, quando é realizado sem validar sua origem ou sanear seu conteúdo, pode levar a consequências inesperadas, como execução de código ou negação de serviço (DoS).

Foi corrigido pela Adobe como parte das atualizações emitidas em março de 2023.

Até o momento da escrita, não está imediatamente claro como a falha está sendo abusada.

Dito isto, o desenvolvimento vem mais de cinco meses depois que a CISA colocou outra falha que afeta o mesmo produto ( CVE-2023-26360 ) no catálogo KEV.

Adobe disse que está ciente da vulnerabilidade sendo explorada em "ataques muito limitados" direcionados ao ColdFusion.

Em vista da exploração ativa, as agências do Poder Executivo Civil Federal (FCEB) são obrigadas a aplicar os patches necessários até 11 de setembro de 2023, para proteger suas redes de ameaças em potencial.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...