Adobe corrige vulnerabilidade de desserialização crítica, mas explorações persistem

Views: 146
0 0
Read Time:1 Minute, 32 Second

A CISA adicionou uma vulnerabilidade – catalogada como  CVE-2023-26359  – ao Catálogo de Vulnerabilidades Exploradas Conhecidas com uma pontuação CVSS de 9,8 devido à exploração ativa.

A vulnerabilidade é uma falha de desserialização que afeta o Adobe ColdFusion 2018 (atualização 15 e anteriores) e o Adobe ColdFusion 2021 (atualização 5 e anteriores) e tem o potencial de resultar na execução arbitrária de código.

A serialização transforma um objeto em um formato de dados que pode eventualmente ser restaurado posteriormente, como acontece com JSON e XML e seus dados serializados. A desserialização é o inverso deste processo onde os dados estruturados em algum formato são reconstruídos em um objeto. Quando a desserialização ocorre sem a validação de uma fonte confiável, ela pode levar à negação de serviço ou à execução de código.

Essas vulnerabilidades, consideradas críticas e importantes e que podem levar a vazamentos de memória, foram corrigidas em março. Não está claro como a falha está sendo explorada, mas a Adobe afirma que isso só ocorre “em ataques muito limitados”.

Devido a essa exploração ativa, as agências do Poder Executivo Civil Federal (FCEB) têm o prazo final de 11 de setembro para  aplicar esses patches  e se proteger contra ameaças potenciais. 

A Adobe recomenda que os clientes apliquem as configurações de segurança “conforme descrito na página Segurança do ColdFusion, bem como revisem os respectivos guias de bloqueio”. Ele também recomenda “atualizar seu ColdFusion JDK/JRE para a versão mais recente dos lançamentos LTS para JDK 11”. Isso ocorre porque a aplicação da atualização do ColdFusion sem uma atualização JDK correspondente não permitirá um servidor seguro.

A Adobe dá crédito a Patrick Vares por  relatar os problemas  relacionados à vulnerabilidade CVE-2023-26359.

FONTE: DARKREADING

POSTS RELACIONADOS