آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) یک نقص امنیتی مهم در Adobe ColdFusion را بر اساس شواهدی از یک بهرهبرداری فعال به فهرست آسیبپذیریهای شناخته شده ([۱]KEV) خود اضافه کرده است[۲].
این آسیبپذیری که بهعنوان CVE-2023-26359 فهرستبندی شده است[۳] (امتیاز ۸/۹ در مقیاس CVSS)، به یک نقص deserialization موجود در Adobe ColdFusion 2018 (بهروزرسانی ۱۵ و نسخههای قبلی) و ColdFusion 2021 (بهروزرسانی ۵ و پیشتر) مربوط میشود که به یک اجرای کد دلخواه در زمینه کاربر فعلی بدون نیاز به هیچگونه تعاملی منجر میشود.
Deserialization (معروف به unmarshaling) به فرایند بازسازی یک ساختار داده یا یک شی از یک جریان بایت اشاره دارد[۴]. اما وقتی بدون تایید منبع یا پاکسازی محتوای آن انجام شود، میتواند منجر به عواقب غیرمنتظرهای[۵] مانند اجرای کد یا انکار سرویس (DoS) شود.
این آسیبپذیری توسط Adobe بهعنوان بخشی از بهروزرسانیهای منتشر شده در مارس ۲۰۲۳ وصله شد[۶]. در زماننگارش این مقاله، مشخص نیست که چگونه از این نقص در سطح اینترنت سوءاستفاده[۷] میشود.
بااینحال، این توسعه بیش از پنج ماه پس از آن صورت میگیرد که CISA نقص دیگری را که بر همان محصول (CVE-2023-26360) تأثیر میگذارد در کاتالوگ KEV قرار داد[۸]. ادوبی گفت که از ضعفی که در “حملات بسیار محدود” باهدف ColdFusion مورد بهرهبرداری قرار میگیرد آگاه است.
باتوجهبه بهرهبرداری فعال، آژانسهای شعبه اجرایی غیرنظامی فدرال (FCEB) موظفاند تا ۱۱ سپتامبر ۲۰۲۳ وصلههای لازم را برای محافظت از شبکههای خود در برابر تهدیدات احتمالی اعمال کنند.
منابع[۲] https://www.cisa.gov/known-exploited-vulnerabilities-catalog
[۳] https://nvd.nist.gov/vuln/detail/CVE-2023-26359
[۴] https://owasp.org/www-community/vulnerabilities/Deserialization_of_untrusted_data
[۵] https://www.acunetix.com/blog/articles/what-is-insecure-deserialization
[۶] https://helpx.adobe.com/in/security/products/coldfusion/apsb23-25.html
[۷] https://viz.greynoise.io/tag/adobe-coldfusion-rce-cve-2023-26359-attempt?days=30
[۸] https://thehackernews.com/2023/03/cisa-issues-urgent-warning-adobe.html
[۹] https://thehackernews.com/2023/08/critical-adobe-coldfusion-flaw-added-to.html
ثبت ديدگاه