Adobe исправляет критическую уязвимость десериализации, но эксплойты сохраняются
CISA добавила уязвимость, занесенную в каталог как CVE-2023-26359, в Каталог известных эксплуатируемых уязвимостей с оценкой CVSS 9,8 из-за активной эксплуатации.
Уязвимость представляет собой недостаток десериализации, затрагивающий Adobe ColdFusion 2018 (обновление 15 и более ранние версии) и Adobe ColdFusion 2021 (обновление 5 и более ранние версии), и может привести к выполнению произвольного кода.
Сериализация преобразует объект в формат данных, который в конечном итоге можно восстановить позже, например, с JSON и XML и их сериализованными данными. Десериализация — это обратный процесс, при котором данные, структурированные в определенном формате, перестраиваются в объект. Если десериализация происходит без проверки доверенного источника, это может привести к отказу в обслуживании или выполнению кода.
Эти уязвимости, которые считаются критическими и важными и могут привести к утечкам памяти, были исправлены в марте. Неясно, как эта уязвимость используется в реальных условиях, но Adobe заявляет, что это происходит только «в очень ограниченных атаках».
Из-за такой активной эксплуатации у агентств Федеральной гражданской исполнительной власти (FCEB) есть крайний срок — 11 сентября — для установки этих исправлений и защиты от потенциальных угроз.
Adobe рекомендует клиентам применить настройки конфигурации безопасности, «как указано на странице безопасности ColdFusion, а также просмотреть соответствующие руководства по блокировке». Он также рекомендует «обновить ColdFusion JDK/JRE до последней версии выпусков LTS для JDK 11». Это связано с тем, что применение обновления ColdFusion без соответствующего обновления JDK не обеспечит безопасность сервера.
Adobe благодарит Патрика Вареса за сообщение о проблемах, связанных с уязвимостью CVE-2023-26359.