官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
Security Affairs 网站披露,Adobe 公司警告客户 ColdFusion 中存在一个严重的预身份验证远程代码执行漏洞,该漏洞被追踪为 CVE-2023-29300(CVSS 评分 9.8),目前可能正在被网络威胁攻击者大肆利用。
Adobe 公司在其向客户发送的一份声明中表示,CVE-2023-29300 漏洞问题由 CrowdStrike 的安全研究员 Nicolas Zilio发现的不可信数据的反序列化, Adobe 已经发现 CVE-2023-29300 在针对 Adobe ColdFusion 的非常有限攻击中被攻击者野外利用。
未经认证的访问者可以利用该漏洞在易受攻击的Coldfusion 2018、2021 和 2023 服务器上远程执行命令。 目前,Adobe 没有透露关于 CVE-2023-29300 更多的技术细节,也没有透露威胁攻击者在野外利用它的方式。
值得一提的是,Adobe 在 ColdFusion 中总共解决了三个漏洞,以下是已修复问题的完整列表:
2023 年 3 月,美国网络安全和基础设施安全局(CISA)将 Adobe ColdFusion中关键漏洞 CVE-2023-26360(CVSS评分:8.6)添加到其已知被利用漏洞目录中。
CVE-2023-26360 漏洞属于不当访问控制,可允许远程攻击者执行任意代码,该漏洞还可能导致任意文件系统读取和内存泄漏。
文章来源:
https://securityaffairs.com/148542/hacking/coldfusion-rce-attacks.html