top of page
Buscar

Adobe emite alerta sobre falha crítica no ColdFusion com código de exploração ativo

  • Foto do escritor: Orlando Santos Cyber Security Brazil
    Orlando Santos Cyber Security Brazil
  • 24 de dez. de 2024
  • 2 min de leitura
ree

A Adobe lançou atualizações de segurança emergenciais para corrigir uma vulnerabilidade crítica no ColdFusion, que já possui código de exploração de prova de conceito (PoC).


Em um comunicado divulgado na segunda-feira, a empresa informou que a falha (identificada como CVE-2024-53961) é causada por uma vulnerabilidade de path traversal, que afeta as versões 2023 e 2021 do Adobe ColdFusion. Essa falha permite que invasores leiam arquivos arbitrários em servidores vulneráveis.


"A Adobe tem conhecimento de que a CVE-2024-53961 possui um código de prova de conceito que pode permitir a leitura arbitrária do sistema de arquivos", disse a empresa, alertando ainda que classificou a falha como de gravidade "Prioridade 1" devido ao "alto risco de ser alvo de ataques ativos em determinadas versões e plataformas do produto".


A empresa recomenda que administradores instalem imediatamente os patches de segurança (ColdFusion 2021 Update 18 e ColdFusion 2023 Update 12), preferencialmente em até 72 horas, e sigam as configurações de segurança descritas nos guias de bloqueio das versões ColdFusion 2023 e 2021.


Embora a Adobe ainda não tenha confirmado se a vulnerabilidade foi explorada em ataques ativos, ela orienta os clientes a revisar a documentação atualizada de filtros de serialização para mitigar ataques de desserialização WDDX inseguros.


Riscos e contexto da vulnerabilidade

Segundo a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA), vulnerabilidades de path traversal podem ser exploradas para acessar dados sensíveis, como credenciais que permitem ataques de força bruta em contas existentes, comprometendo os sistemas alvo.


"Vulnerabilidades como directory traversal têm sido classificadas como 'imperdoáveis' desde pelo menos 2007. Apesar disso, elas continuam sendo uma classe prevalente de falhas de segurança, como demonstrado pelas categorias CWE-22 e CWE-23", declarou a CISA.


Em julho de 2023, a CISA ordenou que agências federais protegessem seus servidores ColdFusion contra duas falhas críticas (CVE-2023-29298 e CVE-2023-38205) exploradas em ataques, sendo uma delas uma zero-day. Além disso, a agência revelou que outra falha crítica (CVE-2023-26360) foi usada desde março de 2023 em ataques limitados para comprometer servidores governamentais desatualizados.


Via - BC

 
 
 

Comentários

bottom of page