Adobe 已发布有关 ColdFusion 中严重漏洞的安全公告,该漏洞的编号为 CVE-2024-53961,该漏洞影响版本 2021 和 2023。该漏洞允许潜在攻击者执行任意文件系统读取,从而带来未经授权访问和数据泄露的重大风险。由于迫在眉睫的风险,Adobe 已将此漏洞归类为“优先级 1”,并已针对受影响的系统发布了紧急补丁。
Adobe 发布 ColdFusion 漏洞 CVE-2024-53961 安全警报
该漏洞源自 Adobe ColdFusion 架构中的路径遍历漏洞,可利用该漏洞访问易受攻击的 Web 服务器上的敏感文件。 ColdFusion 2021 和 ColdFusion 2023 都会受到影响。尽管利用此漏洞的利用已通过概念验证 (PoC) 代码公开演示,但 Adobe 尚未报告任何已确认的主动攻击中的利用情况。这种情况需要使用 ColdFusion 的组织采取紧急行动。
Adobe 的建议强调了在 72 小时内应用最新安全更新(特别是 ColdFusion 2021 Update 18 和 ColdFusion 2023 Update 12)的重要性。该公司还强调了根据 ColdFusion 锁定指南进行安全配置设置的必要性,以增强系统完整性以抵御攻击。
CISA 此前曾警告软件公司注意路径遍历漏洞的影响,这种漏洞很普遍,可能允许未经授权的数据访问。该机构将此类漏洞归类为严重漏洞,理由是它们有可能被利用来检索敏感数据,包括用户凭据。在此披露之前,FBI 就以前针对联邦组织的 ColdFusion 缺陷的利用发出了持续的警报。
先前的缓解措施
鉴于新的漏洞,使用 ColdFusion 的组织应采用多种最佳实践。首先,及时应用Adobe发布的安全补丁,降低CVE-2024-53961相关风险。此步骤至关重要,因为该漏洞的性质允许攻击者读取服务器上的任何文件,从而显着提高数据泄露事件的风险。
此外,建议实施强大的访问控制和身份验证机制,以限制对敏感信息的未经授权的访问。组织还应监视其系统是否存在任何可能表明试图利用此漏洞的异常活动。
从历史上看,类似的漏洞(包括 CVE-2023-29298 和 CVE-2023-38205)曾被利用来攻击 Adobe ColdFusion 安装,促使 CISA 在之前的公告中采取紧急措施。这些漏洞强化了维护更新系统以防御潜在违规行为的重要性,特别是考虑到去年关于持续利用 ColdFusion 漏洞的警报。
任意文件读取问题(例如分类为 CWE-22 和 CWE-23 的问题)的更广泛影响凸显了网络安全中持续存在的挑战。专家们不断强调软件开发人员需要强化其应用程序以抵御此类漏洞,因为它们可能导致严重的数据泄露。
特色图片来源:Kerem Gülen/Midjourney
Adobe 竞相修复 ColdFusion 中的优先级 1 安全漏洞的帖子首先出现在 TechBriefly 上。
Source: Adobe 竞相修复 ColdFusion 中的 1 号优先级安全漏洞
