Adobe heeft vandaag een noodsituatie out-of-band update voor de ColdFusion ontwikkeling platform waarmee een zero-day kwetsbaarheid die werd misbruikt in het wild.
In het beveiligingsbulletin dat was gewoon verstuurd, Adobe beschreven de kwetsbaarheid als een “bestand uploaden beperking omzeilen” en gaven het een waardering van ‘essentieel’.
“Deze aanval vereist de mogelijkheid om te uploaden uitvoerbare code van een web-toegankelijk map, en daarna voer je de code via een HTTP-verzoek. Het beperken van de verzoeken naar de mappen waar de bestanden zijn opgeslagen, zal het verlichten van deze aanval,” Adobe gezegd.
De zero-dag, bijgehouden, zoals CVE-2019-7816, impact van de huidige drie versies van de ColdFusion-platform die nog steeds onderhouden — ColdFusion 11, 2016 en 2018.
Adobe vrijgegeven van de ColdFusion-11 Update 18, ColdFusion 2016 Update 10 en ColdFusion 2018 Update 3 versies van de patch van de bug. Het bedrijf zei dat alle voorgaande versies zijn kwetsbaar voor deze aanval.
De software maker of de normale patch dag van deze maand zou zijn geweest op Maart 12, op dezelfde dag als Microsoft ‘ s Patch dinsdag.
Adobe gecrediteerd vijf onderzoekers voor het vinden van de zero-day –Charlie Arehart, Moshe Ruzin, Josh Ford, Jason Solarek, en de Brug Catalogus Team. Alle ColdFusion ontwikkelaars en support specialisten, en niet de onderzoekers van de veiligheid, de aard van de mensen die meestal te ontdekken en te rapporteren actieve zero-day exploitatie.
Terug in November, een Chinese natie-staat cyber-spionage groep misbruik wordt gemaakt van een soortgelijke ColdFusion-bestand uploaden kwetsbaarheid over te nemen kwetsbare servers op die eigenaren niet van toepassing Adobe September 2018 beveiligingsupdates.
Adobe niet onthullen hoe de huidige zero-day werd misbruikt in het wild.
Verwante cybersecurity nieuws:
Hackers kunnen kapen bare-metal cloud servers door de beschadiging van hun BMC firmwareA derde van alle Chrome-extensies verzoek toegang tot de gegevens van de gebruiker op enig siteResearchers verbergen malware in goedaardige apps met behulp van speculatieve uitvoering
Donderslag gebreken van invloed op hoe Windows, Mac, Linux handvat Thunderbolt peripheralsResearchers breken digitale handtekeningen voor de meeste desktop PDF viewersIt nam hackers slechts drie dagen te gaan benutten nieuwste Drupal bug
Ernstige kwetsbaarheid gevonden in Android ES File Explorer app TechRepublicXiaomi elektrische scooter naar verluidt kwetsbaar voor het kapen van hack CNET
Verwante Onderwerpen:
Enterprise Software
Beveiliging TV
Data Management
CXO
Datacenters