freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Adobe 警告客户 ColdFusion RCE 漏洞已被攻击者利用
2023-07-18 11:36:30
所属地 上海

Security Affairs 网站披露,Adobe 公司警告客户 ColdFusion 中存在一个严重的预身份验证远程代码执行漏洞,该漏洞被追踪为 CVE-2023-29300(CVSS 评分 9.8),目前可能正在被网络威胁攻击者大肆利用。1689651302_64b60866606f4bd45b3ae.png!small

Adobe 公司在其向客户发送的一份声明中表示,CVE-2023-29300 漏洞问题由 CrowdStrike 的安全研究员 Nicolas Zilio发现的不可信数据的反序列化, Adobe 已经发现 CVE-2023-29300 在针对 Adobe ColdFusion 的非常有限攻击中被攻击者野外利用。

未经认证的访问者可以利用该漏洞在易受攻击的Coldfusion 2018、2021 和 2023 服务器上远程执行命令。 目前,Adobe 没有透露关于 CVE-2023-29300 更多的技术细节,也没有透露威胁攻击者在野外利用它的方式。

值得一提的是,Adobe 在 ColdFusion 中总共解决了三个漏洞,以下是已修复问题的完整列表:

1689651317_64b608754d444cd833b1d.png!small

2023 年 3 月,美国网络安全和基础设施安全局(CISA)将 Adobe ColdFusion中关键漏洞 CVE-2023-26360(CVSS评分:8.6)添加到其已知被利用漏洞目录中。

CVE-2023-26360 漏洞属于不当访问控制,可允许远程攻击者执行任意代码,该漏洞还可能导致任意文件系统读取和内存泄漏。

文章来源:

https://securityaffairs.com/148542/hacking/coldfusion-rce-attacks.html

# 漏洞
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者