Adobe近期发布了紧急安全更新，针对ColdFusion中的一个关键漏洞，该漏洞已有概念验证（PoC）代码流出。根据周一的公告，这个编号为CVE-2024-53961的漏洞源于路径遍历弱点，影响了Adobe ColdFusion 2023和2021版本，攻击者可借此读取易受攻击服务器上的任意文件。

Adobe指出，鉴于该漏洞已有可用的PoC代码，可能导致任意文件系统读取，因此将其评为“优先级1”严重等级，警示用户该漏洞面临更高的被攻击风险。

Adobe建议管理员尽快安装当天发布的紧急安全补丁（ColdFusion 2021更新18和ColdFusion 2023更新12），最好在72小时内完成，并按照ColdFusion 2023和ColdFusion 2021锁定指南中的安全配置设置进行操作。

尽管Adobe尚未透露该漏洞是否已在野外被利用，但建议客户查阅更新的串行过滤文档，了解更多关于阻止不安全Wddx反序列化攻击的信息。

今年5月，美国网络安全与基础设施安全局（CISA）曾警告软件公司，在产品发布前应消除路径遍历安全漏洞，因为攻击者可利用这类漏洞访问敏感数据，包括可用于暴力破解现有账户和入侵系统的凭证。

去年7月，CISA还要求联邦机构在8月10日前保护其Adobe ColdFusion服务器，防范两个被利用的关键安全漏洞（CVE-2023-29298和CVE-2023-38205），其中一个为零日漏洞。

一年前，美国网络安全局还披露，自2023年6月以来，黑客一直利用另一个关键的ColdFusion漏洞（CVE-2023-26360）入侵过时的政府服务器。从2023年3月起，该漏洞在“非常有限的攻击”中被作为零日漏洞积极利用。

参考来源：https://www.bleepingcomputer.com/news/security/adobe-warns-of-critical-coldfusion-bug-with-poc-exploit-code/