A Adobe anunciou na sexta-feira correções para uma vulnerabilidade de gravidade crítica no ColdFusion que pode ser explorada para obter a execução arbitrária de código.
Rastreada como CVE-2023-38203 (pontuação CVSS de 9,8), a falha é descrita como “desserialização de dados não confiáveis” nas versões 2023, 2021 e 2018 do ColdFusion.
Isso normalmente permite que um invasor forneça dados especialmente criados e acione a execução de código arbitrário, levando potencialmente ao comprometimento total do sistema.
Segundo a Adobe, informações sobre como essa vulnerabilidade pode ser usada em ataques foram publicadas online.
“A Adobe está ciente de que um blog de prova de conceito foi postado para CVE-2023-38203”, observa a empresa em um consultor.
Na sexta-feira, a Adobe anunciou que o problema foi corrigido com o lançamento do ColdFusion 2023 Update 1, ColdFusion 2021 Update 7 e ColdFusion 2018 Update 17.
Os patches para CVE-2023-38203 foram lançados apenas alguns dias depois que a Adobe corrigiu outro bug de “desserialização de dados não confiáveis” de gravidade crítica no ColdFusion, ou seja, CVE-2023-29300 (pontuação CVSS de 9,8).
De acordo com Dustin Childs, da Zero Day Initiative, os primeiros ataques selvagens direcionados ao CVE-2023-29300 já foram detectados.
“A Adobe lançou outra atualização para o ColdFusion hoje e a nota CVE-2023-38203 foi divulgada publicamente. Eles também dizem agora que o CVE-2023-29300 (corrigido na terça-feira) tem ataques ativos na natureza ”, ele postou no sábado.
Os usuários do ColdFusion são aconselhados a instalar as atualizações de segurança mais recentes o mais rápido possível.
:
: