Adobe ได้เปิดตัวการอัปเดตรอบใหม่เพื่อแก้ไขปัญหาช่องโหว่ ColdFusion ที่ได้เปิดเผยเมื่อไม่นานนี้ ที่ถูกใช้ในการ exploit อย่างต่อเนื่อง ช่องโหว่ที่สำคัญที่หมายเลข CVE-2023-38205 (คะแนน CVSS: 7.5) ได้รับการอธิบายว่ามีการควบคุมการเข้าถึงที่ไม่เหมาะสมซึ่งอาจส่งผลให้เกิดการเลี่ยงผ่านความปลอดภัย ซึ่งมีผลกับเวอร์ชันต่อไปนี้

– ColdFusion 2023 (Update 2 and earlier versions)

– ColdFusion 2021 (Update 8 and earlier versions)

– ColdFusion 2018 (Update 18 and earlier versions)

Adobe กล่าวว่าช่องโหว่ CVE-2023-38205 ถูกนำไปใช้อย่างแพร่หลายในการโจมตี แบบ limited attacks targeting ไปที่ Adobe ColdFusion และยังแก้ไขช่องโหว่อีกสองรายการที่สำคัญของ deserialization ที่หมายเลข CVE-2023-38204 คะแนน CVSS: 9.8 ที่อาจนำไปสู่การ remote code execution และ หมายเลข CVE-2023-38206 คะแนน CVSS: 5.3 เป็นการควบคุมการเข้าถึงที่ไม่เหมาะสมซึ่งอาจนำไปสู่การ bypass ความปลอดภัย     

การเปิดเผยช่องโหว่เกิดจาก Rapid7 ได้เตือนว่าการแก้ไขช่องโหว่หมายเลข CVE-2023-29298 นั้นยังไม่สมบูรณ์และอาจถูกผู้โจมตีใช้หลีกเลี่ยงได้ ซึ่งเป็นช่องโหว่ access control bypass โดยที่บริษัทยังคงแนะนำให้ผู้ใช้ Adobe ColdFusion อัปเดตการติดตั้งเป็นเวอร์ชันล่าสุดเพื่อลดภัยคุกคามที่อาจเกิดขึ้น

แหล่งข่าว [ https://thehackernews.com/2023/07/adobe-rolls-out-new-patches-for.html ] & Adobe ออกแพตช์ใหม่สำหรับช่องโหว่ ColdFusion ที่ถูกโจมตี - Thailand Computer Emergency Response Team (ThaiCERT)