Хакер #305. Многошаговые SQL-инъекции
Компания Adobe предупредила о существовании proof-of-concept эксплоита для свежей уязвимости в ColdFusion (CVE-2024-53961) и выпустила внеплановые патчи.
Проблема получила идентификатор CVE-2024-53961 (7,4 балла по шкале CVSS) и относится к типу path traversal. Сообщается, что ее эксплуатация моет привести к чтению произвольных файлов из файловой системы, если на сервере ColdFusion установлен пакет pmtagent.
«Злоумышленник может использовать эту уязвимость для доступа к файлам и каталогам за пределами ограниченного каталога, установленного приложением. Это может привести к раскрытию конфиденциальной информации или манипулированию системными данными», — гласит бюллетень безопасности.
Хотя по шкале CVSS уязвимость набрала 7,4 балла, Adobe рассматривает проблему как критическую и присвоила ей статус «Приоритет 1», что свидетельствует о высоком риске атак. Дело в том, что представители Adobe предупреждают о существовании работающего PoC-эксплоита для CVE-2024-53961, но пока не раскрывают никаких подробностей об этом.
Уязвимость затрагивала ColdFusion 2023 update 11 и ColdFusion 2021 update 17. Проблема была устранена с релизом ColdFusion 2023 update 12 и ColdFusion 2021 update 18.
Разработчики рекомендуют как можно скорее обновить ColdFusion, а также Adobe рекомендует пользователям ознакомиться с руководствами по блокировке для затронутых версий (1, 2) и убедиться, что сервер Performance Monitoring Toolset (PMT) работает во время обновления, если PMT используется.
