Adobe a publié des mises à jour de sécurité hors bande pour corriger une vulnérabilité critique de ColdFusion avec un code d’exploitation de validation de principe (PoC).
Dans un avis publié lundi, la société indique que la faille (identifiée comme CVE-2024-53961) est causée par une faiblesse de traversée de chemin qui affecte les versions 2023 et 2021 d’Adobe ColdFusion et peut permettre aux attaquants de lire des fichiers arbitraires sur des serveurs vulnérables.
« Adobe est conscient que CVE-2024-53961 a une preuve de concept connue qui pourrait provoquer la lecture d’un système de fichiers arbitraire », a déclaré Adobe aujourd’hui, tout en avertissant les clients qu’il a attribué une cote de gravité de « priorité 1 » à la faille car elle a un « risque plus élevé d’être ciblé, par exploit(s) dans la nature pour une version et une plate-forme de produit données. »
La société conseille aux administrateurs d’installer les correctifs de sécurité d’urgence d’aujourd’hui (ColdFusion 2021 Update 18 et ColdFusion 2023 Update 12) dès que possible, « par exemple, dans les 72 heures », et d’appliquer les paramètres de configuration de sécurité décrits dans les guides de verrouillage ColdFusion 2023 et ColdFusion 2021.
Bien qu’Adobe n’ait pas encore révélé si cette vulnérabilité avait été exploitée dans la nature, il a conseillé aujourd’hui aux clients de consulter sa documentation mise à jour sur les filtres série pour plus d’informations sur le blocage des attaques de désérialisation Wddx non sécurisées.
Comme la CISA l’a averti en mai lorsqu’elle a exhorté les éditeurs de logiciels à éliminer les bogues de sécurité de traversée de chemin avant d’expédier leurs produits, les attaquants peuvent exploiter ces vulnérabilités pour accéder à des données sensibles, y compris des informations d’identification qui peuvent être utilisées pour forcer brutalement des comptes déjà existants et violer les systèmes d’une cible.
« Des vulnérabilités telles que la traversée de répertoires ont été qualifiées d’ « impardonnables » depuis au moins 2007. Malgré cette découverte,les vulnérabilités de traversée d’annuaire (telles que CWE-22 et CWE-23) sont toujours des classes de vulnérabilités répandues », a déclaré CISA.
L’année dernière, en juillet 2023, CISA a également ordonné aux agences fédérales de sécuriser leurs serveurs Adobe ColdFusion d’ici le 10 août contre deux failles de sécurité critiques (CVE-2023-29298 et CVE-2023-38205) exploitées dans des attaques, l’une d’entre elles en tant que zero-day.
L’agence américaine de cybersécurité a également révélé il y a un an que des pirates informatiques utilisaient une autre vulnérabilité critique de ColdFusion (CVE-2023-26360) pour violer des serveurs gouvernementaux obsolètes depuis juin 2023. La même faille avait été activement exploitée dans des « attaques très limitées » en tant que zero-day depuis mars 2023.