Adobe已经知晓ColdFusion漏洞CVE-2024-53961存在已知的概念验证（PoC）利用代码

鹏鹏同学 黑猫安全 2024-12-26 23:02

Adobe发布了紧急安全更新，以解决一个严重漏洞，该漏洞被追踪为CVE-2024-53961（CVSS评分7.4），存在于ColdFusion中。专家警告称，该漏洞存在概念验证（PoC）利用代码。该漏洞是路径名未正确限制到受限目录（“路径遍历”），可能导致任意文件系统读取。该漏洞影响Adobe ColdFusion 2023和2021版本。

通告中写道：“Adobe已为ColdFusion 2023和2021版本发布了安全更新。这些更新解决了一个严重漏洞，可能导致任意文件系统读取。”

通告还提到：“Adobe知晓CVE-2024-53961存在已知的概念验证代码，可能导致任意文件系统读取。”一位网名为ma4ter的研究人员向这家软件巨头报告了该漏洞。公司建议用户将其安装更新到最新版本。

目前尚不清楚Adobe是否已知晓利用此漏洞的实际攻击事件。去年12月，美国网络安全与基础设施安全局（CISA）将其已知被利用漏洞（KEV）目录中添加了另一个Adobe ColdFusion问题，追踪编号为CVE-2024-20767。漏洞CVE-2024-20767（CVSS评分7.4）是ColdFusion 2023.6、2021.12及更早版本中的不当访问控制问题。攻击者可以利用此漏洞获得任意文件读取权限。利用此漏洞需要暴露的管理面板。