周一，Adobe 表示CVE-2024-53961由一个路径遍历弱点引发，影响 Adobe ColdFusion 版本2023和2021，可导致攻击者读取易受攻击服务器上的任意文件。Adobe 公司提到，“Adobe 发现CVE-2024-53961已存在已知的 PoC 利用代码，可导致任意文件系统读取。”该公司还提醒客户称，将该漏洞评级为“优先级1级”，因为“从既定产品版本和平台方面的在野利用情况来看，它遭针对性攻击的风险更高”。

Adobe 公司建议管理员尽快安装今天发布的紧急安全补丁（ColdFusion 2021 Update 18和ColdFusion 2023 Update 12），“例如，在72小时内”，并应用在 ColdFusion 2023和ColdFusion 2021 锁定指南中所列出的安全配置设置。

虽然Adobe 公司尚未披露该漏洞是否已遭在野利用，它建议客户在今天查看其更新的序列过滤器文档，获得关于拦截不安全 Wddx 反序列化攻击的更多信息。

CISA曾在5月份督促软件公司在交付产品前消除路径遍历漏洞，因为攻击者可利用这类漏洞访问敏感数据，包括可用于暴力攻击业已存在的账户并攻陷目标系统的凭据。CISA提到，“目录遍历等漏洞最少从2007年开始就被称作‘不可原谅的’漏洞。尽管如此，目录遍历漏洞（如CWE-22和CWE-23）仍然是普遍存在的漏洞类型。”

2023年7月，CISA还要求联邦机构在8月10日前保护 Adobe ColdFusion 服务器免受两个已遭利用的严重漏洞（CVE-2023-29298和CVE-2023-38205）的影响，而其中一个漏洞当时是0day状态。

一年前CISA还曾披露称，黑客正在利用另外一个严重的 ColdFusion 漏洞CVE-2023-26360自2023年6月起攻陷过时的政府服务器。该漏洞自2023年3月起就已被活跃用于“非常有限的攻击活动”中。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~