Adobe 发布带外安全更新以解决 ColdFusion 的一个关键漏洞,专家警告称有 PoC 漏洞利用代码可用。
Adobe 发布了带外安全更新,以解决 ColdFusion 中的一个关键漏洞(CVE-2024-53961,CVSS 得分 7.4)。专家警告说,该漏洞的概念验证(PoC)利用代码已经存在。
该漏洞是对受限目录路径名的不当限制(“路径遍历”),可导致任意文件系统读取。
该漏洞影响 Adobe ColdFusion 2023 和 2021 版本。
“Adobe 发布了 ColdFusion 2023 和 2021 版本的安全更新。 这些更新解决了一个可能导致任意文件系统读取的关键漏洞。”
“Adobe意识到CVE-2024-53961存在一个已知的概念验证,可能导致任意文件系统读取。”
一位网名为 ma4ter 的研究人员向软件巨头报告了这一漏洞。
该公司建议用户将其安装程序更新到最新版本:
在撰写本文时,尚不清楚该公司是否意识到野外存在利用此漏洞的攻击。
12 月,美国网络安全和基础设施安全局(CISA)在其已知漏洞(KEV)目录中添加了另一个 Adobe ColdFusion 问题,跟踪名为 CVE-2024-20767。
CVE-2024-20767 漏洞(CVSS 得分为 7.4)是 ColdFusion 2023.6、2021.12 及更早版本中的不当访问控制问题。攻击者可利用漏洞获取任意文件读取。利用漏洞需要暴露管理面板。
发表评论
您还未登录,请先登录。
登录