Adobe เปิดตัวการอัปเดตความปลอดภัย ColdFusion ฉุกเฉินที่แก้ไขช่องโหว่ที่สำคัญ รวมถึงการแก้ไขสำหรับการโจมตีแบบ Zero-day แบบใหม่ ส่วนหนึ่งของการอัปเดตในวันนี้ Adobe ได้แก้ไขช่องโหว่ 3 รายการ ได้แก่
- RCE ร้ายแรงที่ติดตามเป็นCVE-2023-38204 (คะแนน 9.8)เป็นข้อบกพร่องที่สำคัญที่สุดที่ได้รับการแพตช์ในวันนี้ เนื่องจากเป็นข้อบกพร่องในการเรียกใช้โค้ดจากระยะไกล
- ข้อบกพร่องร้ายแรงการควบคุมการเข้าถึงที่ไม่เหมาะสมติดตามเป็น CVE-2023-38205 (คะแนน 7.8) ถูกนำไปใช้ประโยชน์อย่างแพร่หลายในการโจมตีแบบจำกัดที่มีเป้าหมายที่ Adobe ColdFusion ซึ่งเป็น แพตช์บายพาสสำหรับการแก้ไข CVE-2023-29298ซึ่งเป็นบายพาสการตรวจสอบสิทธิ์ ColdFusion ที่ค้นพบโดยนักวิจัย Rapid7 Stephen Fewer เมื่อวันที่ 11 กรกฎาคม
สำหรับ CVE-2023-29298 และสิ่งที่ดูเหมือนจะเป็นข้อบกพร่อง CVE-2023-29300/CVE-2023-38203 เพื่อติดตั้งเว็บเชลล์บนเซิร์ฟเวอร์ ColdFusion ที่มีช่องโหว่เพื่อเข้าถึงอุปกรณ์จากระยะไกล
Rapid7 ระบุว่าสามารถข้ามการแก้ไขช่องโหว่ CVE-2023-29298 ได้และเปิดเผยต่อ Adobe ว่าการแก้ไขที่ Adobe จัดเตรียมไว้สำหรับ CVE-2023-29298 เมื่อวันที่ 11 กรกฎาคมนั้นไม่สมบูรณ์
และการใช้ประโยชน์ที่ปรับเปลี่ยนเล็กน้อยยังคงทำงานกับ ColdFusion เวอร์ชันล่าสุด (เผยแพร่เมื่อวันที่ 14 กรกฎาคม)
- ข้อบกพร่องการควบคุมการเข้าถึงที่ไม่เหมาะสมปานกลางติดตามเป็น CVE-2023-38206 (คะแนน 5.3) เนื่องจากช่องโหว่นี้ถูกใช้ในการโจมตีเพื่อเข้าควบคุมเซิร์ฟเวอร์ ColdFusion ขอแนะนำอย่างยิ่งให้ผู้ให้บริการเว็บไซต์ติดตั้งการอัปเดตโดยเร็วที่สุด
Ref : bleepingcomputer
ไม่มีความคิดเห็น:
แสดงความคิดเห็น