Adobe ha rilasciato oggi un’emergenza out-of-band aggiornamento per la sua ColdFusion piattaforma di sviluppo di patch per una vulnerabilità zero-day che stava per essere sfruttata.
Nel suo bollettino di sicurezza che è stato appena inviato, Adobe ha descritto la vulnerabilità come “file upload restrizione bypass” e ha dato un punteggio di “critico”.
“Questo attacco richiede la possibilità di caricare il codice eseguibile di una directory accessibile tramite web, e quindi l’esecuzione di codice tramite una richiesta HTTP. Limitare le richieste per la directory dove i file sono memorizzati attenuare questo tipo di attacco,” Adobe ha detto.
Il “giorno zero”, registrata come CVE-2019-7816, impatti attuali tre versioni di ColdFusion piattaforma che ancora oggi vengono mantenuti — ColdFusion 11, il 2016 e il 2018.
Adobe ha rilasciato la ColdFusion 11 Aggiornamento 18, ColdFusion 2016 Aggiornamento 10, e ColdFusion 2018 Aggiorna 3 versioni di patch per il bug. L’azienda ha detto che tutte le versioni precedenti sono vulnerabili a questo attacco.
Il produttore di software di solito il giorno di patch di questo mese sarebbe stato il 12 Marzo, lo stesso giorno, come Microsoft Patch Tuesday.
Adobe accreditato cinque ricercatori per la ricerca di zero-giorno-Charlie Arehart, Moshe Ruzin, Josh Ford, Jason Solarek e Bridge Catalogo Squadra. Tutti sono agli sviluppatori ColdFusion e il supporto di specialisti, e non i ricercatori di sicurezza, il tipo di persone che di solito scoprire e segnalare attivo zero-day di sfruttamento.
Torna nel mese di novembre, una nazione Cinese-stato di cyber-spionaggio gruppo ha sfruttato una simile ColdFusion upload di file vulnerabilità di prendere più vulnerabili server su cui proprietari non si applicano Adobe settembre 2018 aggiornamenti di sicurezza.
Adobe non ha rivelato come oggi zero-day è stata sfruttata.
Relative cybersecurity notizie:
Gli hacker sono in grado di dirottare bare-metal server cloud di corrompere la loro BMC firmwareA terzo di tutte le estensioni di Chrome richiesta di accesso ai dati dell’utente su qualsiasi siteResearchers nascondere malware benigno applicazioni con l’aiuto di esecuzione speculativa
Rombo di tuono difetti impatto come Windows, Mac, Linux gestire Thunderbolt peripheralsResearchers rompere le firme digitali per la maggior parte dei desktop PDF viewersIt hacker ha preso solo tre giorni per iniziare a sfruttare ultima Drupal bug
Le principali vulnerabilità trovato in Android ES File Explorer app TechRepublicXiaomi scooter elettrico riferito vulnerabili agli attacchi degli hacker hack CNET
Argomenti Correlati:
Enterprise Software
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati