Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Хакеры активно используют исправленную уязвимость Adobe ColdFusion

24/08/23

ColdFusion-1

Агентство кибербезопасности США (CISA) добавило уязвимость с идентификатором CVE-2023-26359 в каталог известных используемых уязвимостей. Эксперты присвоили ей рейтинг серьёзности 9,8 из 10 по шкале CVSS из-за активной эксплуатации хакерами, пишет Securitylab.

Уязвимость представляет собой ошибку десериализации данных в Adobe ColdFusion 2018 (до обновления 15 включительно) и Adobe ColdFusion 2021 (до обновления 5 включительно). Она позволяет злоумышленникам выполнять произвольный код на уязвимых системах.

Сериализация превращает объект в формат данных, который в конечном итоге может быть восстановлен позже, как в случае с JSON и XML и их сериализованными данными. десериализация — это обратный этому процессу процесс, при котором данные, структурированные в определённом формате, перестраиваются в объект.

Когда десериализация выполняется без проверки достоверности источника, это может привести к отказу в обслуживании или выполнению вредоносного кода.

Все критические уязвимости, способные привести к утечкам памяти, были исправлены ещё в марте. Пока неясно, как именно они используются хакерами, но сама Adobe утверждает, что это происходит в очень ограниченных сценариях атак.

Из-за активной эксплуатации федеральные гражданские ведомства США должны установить все необходимые патчи в срок до 11 сентября, чтобы защититься от потенциальных угроз.

Adobe рекомендует применить настройки безопасности, описанные в руководствах по безопасности ColdFusion, а также обновить JDK/JRE ColdFusion до последних версий LTS для JDK 11. Без соответствующего обновления JDK установка патча для ColdFusion не обеспечит безопасность сервера.

Темы:Adobe
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...