Adobe har släppt idag en nödsituation out-of-band-uppdatering för sin ColdFusion utvecklingsplattform som plåster en noll-dag sårbarhet som utnyttjas i det vilda.
I sin säkerhetsbulletin som var precis skickat ut, Adobe beskrivs den sårbarhet som en “ladda upp fil begränsning bypass” och gav den betyget “kritisk”.
“Denna attack kräver förmåga att ladda upp körbar kod till en web-tillgänglig katalog, och sedan exekvera kod via en HTTP-begäran. Begränsa begär att kataloger där uppladdade filer lagras kommer att mildra denna attack,” Adobe sagt.
Zero-day, spårade som CVE-2019-7816, konsekvenser de nuvarande tre versioner av ColdFusion plattform som fortfarande underhålls — ColdFusion 11, 2016 och 2018.
Släppte Adobe ColdFusion 11 Uppdatering 18, ColdFusion 2016 Update 10 och ColdFusion 2018 Uppdatering 3 versioner för att korrigera felet. Bolaget sade alla tidigare versioner som är sårbara för denna attack.
Programmet tillverkarens vanliga plåster dag denna månad skulle ha varit den 12 Mars, samma dag som Microsofts Patch tisdag.
Adobe krediteras fem forskare för att hitta den noll-dag –Charlie Arehart, Moshe Ruzin, Josh Ford, Jason Solarek, och Bron Katalog Team. Alla är ColdFusion utvecklare och specialister stöd, och inte säkerhet forskare, den typ av människor som oftast upptäcka och rapportera aktiv zero-day exploatering.
Tillbaka i November, en Kinesiska nationen-staten cyber-spionage-gruppen utnyttjat en liknande ColdFusion filuppladdning sårbarhet för att ta över utsatta servrar där ägarna inte tillämpas Adobes September 2018 säkerhetsuppdateringar.
Adobe inte avslöja hur dagens zero-day var utnyttjas i det vilda.
Relaterade it-säkerhet nyheter täckning:
Hackare kan stjäla bare-metal-cloud-servrar genom att korrumpera deras BMC firmwareA tredjedel av alla Chrome-tillägg begära att få tillgång till användarnas uppgifter om någon siteResearchers dölja skadlig kod i godartade appar med hjälp av spekulativ exekvering
Blixt brister påverkar hur Windows, Mac, Linux hantera Thunderbolt peripheralsResearchers bryta digitala signaturer för de flesta stationära PDF viewersIt hackare tog bara tre dagar för att börja utnyttja senaste Drupal-bugg
Större sårbarhet som finns i Android ES File Explorer-appen TechRepublicXiaomi elektrisk skoter enligt uppgift utsatta för kapning hacka CNET
Relaterade Ämnen:
Affärssystem
Säkerhet-TV
Hantering Av Data
CXO
Datacenter