Adobe rolt een update uit om een zero-day-lek in ColdFusion te dekken. Snel updaten is een must, want het lek wordt vandaag al misbruikt door hackers.
Adobe’s ontwikkelingsplatform ColdFusion bevat een kritiek lek. Een pas ontdekte zero-day-kwetsbaarheid laat hackers toe om restricties te omzeilen en malafide bestanden te uploaden. Vervolgens kunnen ze kwaadaardige code uitvoeren. De kwetsbaarheid, die de stempel ‘kritiek’ meekrijgt, gaat door het leven onder de noemer CVE-2019-7816. Het lek vereist toegang tot een via het web toegankelijke directory, waarna de code moet worden uitgevoerd via een HTTP-request. Adobe stelt dat het afschermen van directories soelaas moet bieden.
Het lek treft alle nog ondersteunde versies van ColdFusion: ColdFusion 11 Update 17 en ouder, ColdFusion 2016 Update 9 en ouder, en ColdFusion 2018 Update 2 en ouder. Het gebruikte platform is van geen tel. Adobe rolde patches uit voor alle versies. Meer informatie over het lek lees je hier.
Snelle updates
De ontdekking en de ernst van het beveiligingsprobleem zette Adobe er toe aan om updates uit te rollen voor het daartoe bestemde maandelijkse moment. Net als Microsoft werkt Adobe immers met ‘patch Tuesdays’. Wacht niet met de installatie van de update. De softwarebouwer geeft zelf te kennen al weet te hebben van scenario’s waarin hackers het lek actief misbruiken.
De hele situatie illustreert nog maar eens hoe snel een kwetsbaarheid kritiek kan zijn, maar vooral ook hoe belangrijk het is om tijdig te updaten. Wie deze patch links laat liggen, stelt zich immers bloot aan een reëel gevaar.