Adobe heeft een beveiligingsupdate uitgebracht om een ColdFusion-kwetsbaarheid aan te pakken met proof-of-concept exploitcode.
Adobe heeft beveiligingsupdates uitgebracht om een kwetsbaarheid in ColdFusion aan te pakken. Die wordt veroorzaakt door path traversal. Het betreft ColdFusion 2021 en 2023-versies die aanvallers toegang geven om willekeurige bestanden op kwetsbare servers te zetten.
Proactief beveiligen
De kwetsbaarheid is voorzien van een proof-of-concept-exploitcode, en Adobe heeft die als “Prioriteit 1” geklasseerd. Die klassering duidt op een verhoogd risico dat de fout uitgebuit wordt. Adobe raadt aan om de beveiligingsupdates binnen de 72 uur te installeren en daarna de aanbevolen beveiligingsinstellingen te gebruiken.
Het is niet bevestigd of de kwetsbaarheid misbruikt is door aanvallers, maar toch adviseert Adobe om de bijgewerkte documentatie te raadplegen over het blokkeren van deserialisatieaanvallen. Het is niet de eerste keer dat er kritieke fouten opduiken in ColdFusion. BleepingComputer schrijft dat er vorig jaar nog een kwetsbaarheid in ColdFusion actief werd uitgebuit. Proactief handelen en actie ondernemen is in dit geval dus zeker aangeraden.