-
09/04/2020
-
85
-
553 bài viết
Cảnh báo lỗ hổng zero-day trong Adobe ColdFusion, không cập nhật bản vá là “căng”
CISA đã thêm một lỗ hổng nghiêm trọng ảnh hưởng đến các phiên bản Adobe ColdFusion 2021 và 2018 vào danh mục các lỗi đang bị khai thác trong thực tế.
CVE-2023-26360 với điểm CVSS 8,6 là một lỗ hổng thực thi mã tùy ý nghiêm trọng. Lỗ hổng tồn tại trong sản phẩm Adobe ColdFusion, là lỗi kiểm soát truy cập không phù hợp dẫn tới thực thi mã từ xa.
Adobe đã giải quyết lỗ hổng này trong Bản cập nhật 16 của ColdFusion 2018 và Bản cập nhật 6 của ColdFusion 2021. Hãng cũng cho biết lỗ hổng đã bị khai thác trong các cuộc tấn công dưới dạng lỗ hổng zero-day.
Trong khuyến cáo, Adobe lưu ý: “Công ty nhận thấy CVE-2023-26360 đã bị khai thác trong các cuộc tấn công rất hạn chế nhắm vào Adobe ColdFusion.”
Mặc dù lỗ hổng này cũng ảnh hưởng đến các phiên bản ColdFusion 2016 và ColdFusion 11, tuy nhiên Adobe không cung cấp bản cập nhật cho các phiên bản đã ngừng hỗ trợ.
Quản trị viên nên cài đặt các bản cập nhật càng sớm càng tốt (tốt nhất là trong vòng 72 giờ) và áp dụng các cài đặt cấu hình bảo mật theo khuyến cáo ColdFusion 2018 và ColdFusion 2021.
Adobe chỉ thông báo về Bản cập nhật tháng 3 cho Adobe ColdFusion 2021 và 2018 mà không đề cập đến các lỗ hổng đã vá khác cũng bị khai thác trong thực tế.
Hàng loạt các lỗ hổng zero-day được tìm ra gần là lời nhắc nhở về tầm quan trọng của việc cập nhật phần mềm và tinh thần cảnh giác do những lỗ hổng này có thể cho phép kẻ xấu tấn công xâm nhập vào hệ thống của doanh nghiệp hoặc tổ chức, từ đó đánh cắp hoặc thay đổi dữ liệu. WhiteHat khuyến cáo người dùng nên cập nhật phiên bản mới nhất hoặc cài đặt bản vá để giảm thiểu nguy cơ bị tấn công.
CVE-2023-26360 với điểm CVSS 8,6 là một lỗ hổng thực thi mã tùy ý nghiêm trọng. Lỗ hổng tồn tại trong sản phẩm Adobe ColdFusion, là lỗi kiểm soát truy cập không phù hợp dẫn tới thực thi mã từ xa.
Adobe đã giải quyết lỗ hổng này trong Bản cập nhật 16 của ColdFusion 2018 và Bản cập nhật 6 của ColdFusion 2021. Hãng cũng cho biết lỗ hổng đã bị khai thác trong các cuộc tấn công dưới dạng lỗ hổng zero-day.
Trong khuyến cáo, Adobe lưu ý: “Công ty nhận thấy CVE-2023-26360 đã bị khai thác trong các cuộc tấn công rất hạn chế nhắm vào Adobe ColdFusion.”
Mặc dù lỗ hổng này cũng ảnh hưởng đến các phiên bản ColdFusion 2016 và ColdFusion 11, tuy nhiên Adobe không cung cấp bản cập nhật cho các phiên bản đã ngừng hỗ trợ.
Quản trị viên nên cài đặt các bản cập nhật càng sớm càng tốt (tốt nhất là trong vòng 72 giờ) và áp dụng các cài đặt cấu hình bảo mật theo khuyến cáo ColdFusion 2018 và ColdFusion 2021.
Chuyên gia khuyến cáo cập nhật bản vá khẩn cấp
CISA đã cảnh báo các cuộc tấn công tiềm ẩn nhắm vào khai thác CVE-2023-26360 và khuyến cáo các hệ thống nên cập nhật bản vá cho lỗ hổng này.Adobe chỉ thông báo về Bản cập nhật tháng 3 cho Adobe ColdFusion 2021 và 2018 mà không đề cập đến các lỗ hổng đã vá khác cũng bị khai thác trong thực tế.
Hàng loạt các lỗ hổng zero-day được tìm ra gần là lời nhắc nhở về tầm quan trọng của việc cập nhật phần mềm và tinh thần cảnh giác do những lỗ hổng này có thể cho phép kẻ xấu tấn công xâm nhập vào hệ thống của doanh nghiệp hoặc tổ chức, từ đó đánh cắp hoặc thay đổi dữ liệu. WhiteHat khuyến cáo người dùng nên cập nhật phiên bản mới nhất hoặc cài đặt bản vá để giảm thiểu nguy cơ bị tấn công.
Theo Bleeping Computer, WhiteHat
Chỉnh sửa lần cuối: