Adobe heeft een noodpatch uitgebracht voor een kritieke kwetsbaarheid in ColdFusion en adviseert gebruikers en organisaties om de patch zo snel mogelijk te installeren, waarbij als voorbeeld binnen 72 uur wordt gegeven. Daarnaast waarschuwt Adobe dat er proof-of-concept exploitcode voor het beveiligingslek op internet beschikbaar is.
ColdFusion is een platform voor het ontwikkelen van webapplicaties. In het verleden zijn kwetsbaarheden in ColdFusion geregeld gebruikt voor aanvallen op ColdFusion-applicatieservers. Zo waarschuwde het cyberagentschap van de Amerikaanse overheid onlangs nog voor een actief aangevallen ColdFusion-kwetsbaarheid. De nu verholpen kwetsbaarheid (CVE-2024-53961) betreft path traversal en maakt het mogelijk voor een aanvaller om willekeurige bestanden van het bestandssysteem te lezen.
De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 7.4. De onderzoeker die het probleem aan Adobe rapporteerde ontdekte eerder dit jaar een soortgelijk beveiligingslek (CVE-2024-20767). Adobe komt normaliter elke tweede dinsdag van de maand met beveiligingsupdates, maar heeft deze update buiten de vaste patchcyclus om uitgebracht. Daarnaast heeft Adobe de installatie van deze update de hoogste prioriteit gegeven, waarbij het adviseert dit zo snel mogelijk te doen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.