Af Eskil Sørensen, 20/03/23
CISA har tilføjet en den nyligt opdaterede kritiske sårbarhed Adobe ColdFusion version 2021 og 2018 til sit katalog over sikkerhedsfejl.
Der er tale om en fejl, der blev kendt i offentligheden ifm. Adobes Patch Tuesday den anden tirsdag i måneden, hvor det blev meldt ud, at Adobe havde kendskab til udnyttelser i meget begrænsede angreb. Det skriver Bleeping Computer og en række andre medier.
Fejlen har id’et CVE-2023-26360 og en score på 8,6. Den skyldes en svaghed i ukorrekt adgangskontrol, og den kan misbruges eksternt af uautoriserede angribere i angreb med lav kompleksitet. Det vil sige, at den ikke kræver interaktion fra brugeren.
Der findes opdateringer til ColdFusion 2018 og 2021, men ikke til ColdFusion 2016- og ColdFusion 11-installationer, da de har nået end-of-life.
Administratorer rådes til at installere sikkerhedsopdateringerne så hurtigt som muligt, mens CISA har givet føderale myndigheder i USA tre uger til at håndtere sårbarheden.
At CISA allerede et par dage efter offentliggørelsen sætter sårbarheden på KEV-listen er et udtryk for, at løsningen er bredt anvendt og derfor et oplagt mål for trusselsaktører. Der har siden etableringen af KEV-kataloget i 2020 været fem sårbarheder i Adobe ColdFusion i kataloget.
Adobe ColdFusion er en platform til udvikling af webapplikationer.
Links:
https://sensorstechforum.com/cve-2023-26360-adobe-coldfusion/
https://thehackernews.com/2023/03/cisa-issues-urgent-warning-adobe.html