A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma falha de segurança crítica no Adobe ColdFusion ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), com base em evidências de exploração ativa.
A vulnerabilidade, catalogada como
CVE-2023-26359
(pontuação CVSS: 9.8), está relacionada a uma falha de desserialização presente na Adobe ColdFusion 2018 (Atualização 15 e anteriores) e ColdFusion 2021 (Atualização 5 e anteriores) que poderia resultar na execução arbitrária de código no contexto do usuário atual sem necessidade de qualquer interação.
Desserialização (também conhecida como desgravação) se refere ao processo de reconstrução de uma estrutura de dados ou objeto a partir de um fluxo de bytes.
Mas, quando é realizado sem validar sua origem ou sanear seu conteúdo, pode levar a consequências inesperadas, como execução de código ou negação de serviço (DoS).
Foi corrigido pela Adobe como parte das atualizações emitidas em março de 2023.
Até o momento da escrita, não está imediatamente claro como a falha está sendo abusada.
Dito isto, o desenvolvimento vem mais de cinco meses depois que a CISA colocou outra falha que afeta o mesmo produto (
CVE-2023-26360
) no catálogo KEV.
Adobe disse que está ciente da vulnerabilidade sendo explorada em "ataques muito limitados" direcionados ao ColdFusion.
Em vista da exploração ativa, as agências do Poder Executivo Civil Federal (FCEB) são obrigadas a aplicar os patches necessários até 11 de setembro de 2023, para proteger suas redes de ameaças em potencial.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...