根据主动利用的证据,美国网络安全和基础设施安全局 (CISA) 已将Adobe ColdFusion 中的一个关键安全漏洞添加到其已知被利用的漏洞 ( KEV ) 目录中。
该漏洞编号为CVE-2023-26359(CVSS 评分:9.8),与 Adobe ColdFusion 2018(更新 15 及更早版本)和 ColdFusion 2021(更新 5 及更早版本)中存在的反序列化缺陷有关,该缺陷可能导致在当前用户的上下文,无需任何交互。
反序列化(又名解组)是指从字节流重建数据结构或对象的过程。但是,如果在未验证其来源或清理其内容的情况下执行该操作,则可能会导致意外后果,例如代码执行或拒绝服务 (DoS)。
Adobe 在 2023 年 3 月发布的更新中对此进行了修补。截至撰写本文时,尚不清楚该缺陷是如何在野外被滥用的。
也就是说,在 CISA将影响同一产品的另一个缺陷 (CVE-2023-26360)添加到 KEV 目录五个多月后,这一进展就出现了。Adobe 表示,它意识到针对 ColdFusion 的“非常有限的攻击”中所利用的弱点。
鉴于这种活跃的利用行为,联邦民事行政部门 (FCEB) 机构必须在 2023 年 9 月 11 日之前应用必要的补丁,以保护其网络免受潜在威胁。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...