Nieuwe noodupdates voor Adobe Coldfusion

Nogmaals, Adobe moet updates voor Adobe Coldfusion verspreiden. Ze moeten drie veiligheidslekken dichten. Het bedrijf zei dat een dergelijke aanval al is uitgebuit bij sommige aanvallen op systemen met Adobe Coldfusion. Updates zijn beschikbaar voor Coldfusion 2018, 2021 en 2023 en ze hebben allemaal het hoogste prioriteitsniveau. Met deze prioriteit adviseert Adobe IT-beheerders om zo snel mogelijk updates te installeren.

advertentie

Slechts een paar dagen geleden heeft Adobe een patch voor Coldfusion uitgebracht buiten het gebruikelijke updateschema om. Dit omvatte fouten bij het deserialiseren van niet-vertrouwde gegevens (CVE-2023-38203, CVSS 9.8, risico “Critical”). Volg nu de bugfixes CVE-2023-38204, CVE-2023-3820r en CVE-2023-38206. Met CVE-2023-38204 kan willekeurige programmacode op het apparaat worden uitgevoerd. Deze kloof wordt als “kritiek” beschouwd en heeft een CVSS-score van 9,8. De schaal gaat tot tien.

Met de andere twee bugs kunnen aanvallers beveiligingsmaatregelen omzeilen. CVE-2023-38205 is ook “Kritiek”, met CVSS 7.5 – deze kwetsbaarheid is er een waarvan Adobe op de hoogte is en waarvan wordt gemeld dat deze al is uitgebuit. CVE-2023-38206 wordt als “matig” gevaarlijk beschouwd en heeft een CVSS-score van 5,3.

Als je snel patcht, patch dan twee keer

Aangezien Adobe echter alle drie de kwetsbaarheden een 1-tier rating heeft gegeven, is de kans groot dat deze drie kwetsbaarheden al worden uitgebuit of binnenkort in het wild zullen worden uitgebuit. Het bedrijf raadt u ook aan de beveiligingsaanbevelingen en afsluithandleidingen voor elke Coldfusion-release te volgen. Coldfusion is een Java-applicatieserver die interactieve webapplicaties maakt. Er zijn standaard en praktische varianten.

Adobe biedt update-instructies met koppelingen en aanvullende informatie afzonderlijk voor elke afzonderlijke versie:

advertentie

(S)