Adobe最新漏洞被披露,已有PoC代码流出
Adobe最新漏洞被披露,已有PoC代码流出
工业互联网安全 金瀚信安 2024-12-27 05:27
Adobe近期发布了紧急安全更新,针对ColdFusion中的一个关键漏洞,该漏洞已有概念验证(PoC)代码流出。根据周一的公告,这个编号为CVE-2024-53961的漏洞源于路径遍历弱点,影响了Adobe ColdFusion 2023和2021版本,攻击者可借此读取易受攻击服务器上的任意文件。
Adobe指出,鉴于该漏洞已有可用的PoC代码,可能导致任意文件系统读取,因此将其评为“优先级1”严重等级,警示用户该漏洞面临更高的被攻击风险。
Adobe建议管理员尽快安装当天发布的紧急安全补丁(ColdFusion 2021更新18和ColdFusion 2023更新12),最好在72小时内完成,并按照ColdFusion 2023和ColdFusion 2021锁定指南中的安全配置设置进行操作。
尽管Adobe尚未透露该漏洞是否已在野外被利用,但建议客户查阅更新的串行过滤文档,了解更多关于阻止不安全Wddx反序列化攻击的信息。
今年5月,美国网络安全与基础设施安全局(CISA)曾警告软件公司,在产品发布前应消除路径遍历安全漏洞,因为攻击者可利用这类漏洞访问敏感数据,包括可用于暴力破解现有账户和入侵系统的凭证。
去年7月,CISA还要求联邦机构在8月10日前保护其Adobe ColdFusion服务器,防范两个被利用的关键安全漏洞(CVE-2023-29298和CVE-2023-38205),其中一个为零日漏洞。
一年前,美国网络安全局还披露,自2023年6月以来,黑客一直利用另一个关键的ColdFusion漏洞(CVE-2023-26360)入侵过时的政府服务器。从2023年3月起,该漏洞在“非常有限的攻击”中被作为零日漏洞积极利用。
来源:
FreeBuf
往期文章回顾:
Ollama AI框架被曝严重漏洞,可导致DoS、模型盗窃和中毒
从孤岛到协同:IT-OT融合才是加强工业网络安全的未来
2024年工业控制系统(ICS)和运营技术(OT)威胁与风险预测
“梅开二度”!工业自动化巨头施耐德电气遭Cactus勒索软件攻击
勒索软件攻击导致加拿大政府发生大规模数据泄露