Adobe har i dag udgivet en nødsituation out-of-band-opdatering til sine ColdFusion udviklingsplatform, der lapper et zero-day-sårbarhed, der blev udnyttet i naturen.
I sin sikkerhedsbulletin, der er lige sendt ud, Adobe beskrevet sårbarhed som en “file upload begrænsning bypass” og fik en vurdering af “kritisk”.
“Dette angreb kræver evnen til at uploade eksekverbar kode i en web-tilgængelig mappe, og derefter udføre denne kode via en HTTP-anmodning. Begrænsning af anmodninger til mapper, hvor de uploadede filer er gemt, vil afhjælpe dette angreb,” Adobe sagde.
Nul-dag, spores som CVE-2019-7816, påvirker den aktuelle tre versioner af ColdFusion platform, der stadig er fastholdt — ColdFusion 11, 2016 og 2018.
Udgivet Adobe ColdFusion 11 Opdatering 18, ColdFusion 2016 Update 10, og ColdFusion 2018 Update 3 versioner til at lappe fejlen. Selskabet sagde, at alle tidligere versioner er sårbar over for dette angreb.
Den software maker ‘ s sædvanlige patch dag i denne måned ville have været på 12 Marts, samme dag som Microsoft-Patch tirsdag.
Adobe krediteret fem forskere for at finde den nul-dag –Charlie Arehart, Moshe Ruzin, Josh Ford, Jason Solarek, og Broen Katalog Team. Alle er ColdFusion udviklere og specialister, og ikke sikkerhed forskere, den type af mennesker, der normalt opdage og rapportere aktiv zero-day-udnyttelse.
Tilbage i November, en Kinesiske nation-state cyber-spionage-koncernen udnyttede en lignende ColdFusion fil upload sårbarhed til at tage over sårbare servere, som ejerne ikke anvende Adobe ‘ s September 2018 sikkerhedsopdateringer.
Adobe har ikke afsløre, hvordan dagens nul-dag blev udnyttet i naturen.
Relaterede cybersecurity dækning af nyheder:
Hackere kan kapre bare-metal cloud-servere ved at ødelægge deres BMC firmwareA tredjedel af alle Chrome-udvidelser anmode om adgang til brugerens data, på enhver siteResearchers skjule malware i godartet apps ved hjælp af spekulative udførelse
Tordenskrald fejl har indflydelse på, hvordan Windows, Mac, Linux håndtere Thunderbolt peripheralsResearchers bryde digitale signaturer til de fleste desktop-PDF viewersIt tog hackere kun tre dage til at begynde at udnytte de nyeste Drupal fejl
Større sårbarhed fundet i Android ES File Explorer app TechRepublicXiaomi el-scooter efter sigende sårbare over for kapring af hack CNET
Relaterede Emner:
Virksomhedens Software
Sikkerhed-TV
Data Management
CXO
Datacentre