- Adobe corrige una falla encontrada en dos versiones de ColdFusion
- Advirtió a los usuarios que arreglaran lo antes posible, ya que PoC está disponible
- Se puede utilizar un error para crear o reemplazar un error crítico.
Adobe ha solucionado una vulnerabilidad de alta gravedad encontrada en dos versiones de ColdFusion, una plataforma de desarrollo rápido para crear aplicaciones web, API y software.
La vulnerabilidad, rastreada como CVE-2024-53961, se describe como una falla de recorrido de ruta que afecta las versiones 2021 y 2023 de ColdFusion.
Recibió una puntuación de gravedad de 7,4 (alta) y, según CWE, se puede utilizar para crear o reemplazar archivos críticos utilizados para ejecutar código, como programas o bibliotecas.
Arreglar lo antes posible
“Un atacante podría aprovechar esta vulnerabilidad para acceder a archivos o directorios que están fuera del directorio restringido definido por la aplicación”, explica el NIST. “Esto podría dar lugar a la divulgación de información confidencial o la manipulación de datos del sistema”.
Tampoco es teórico. de acuerdo a pitidocomputadoraEl código de explotación de prueba de concepto (PoC) ya está disponible.
“Adobe es consciente de que CVE-2024-53961 tiene una vulnerabilidad conocida que puede provocar una lectura arbitraria del sistema de archivos”, dijo Adobe en un aviso de seguridad, enfatizó la publicación. La empresa le ha dado al error una clasificación de gravedad de “Prioridad 1”, ya que tiene un “mayor riesgo de ser atacado por exploits en la naturaleza para una determinada versión del producto y plataforma”.
Adobe instó a los usuarios a aplicar las correcciones proporcionadas de inmediato, preferiblemente dentro de las 72 horas. Para ColdFusion 2021, es la actualización 18 y para ColdFusion 2023, es la actualización 12.
Si bien PoC está disponible, no se sabe si la vulnerabilidad realmente se está explotando en la naturaleza. Parece que la Agencia de Seguridad de Infraestructura y Seguridad de EE. UU. (CISA) no lo ha agregado a su catálogo de vulnerabilidades explotadas conocidas (KEV), lo que puede indicar que aún no se han encontrado pruebas de uso indebido.
Sin embargo, los ciberdelincuentes saben que muchas organizaciones no son muy diligentes a la hora de aplicar parches y, a menudo, prefieren buscar fallos conocidos en lugar de buscar días cero. Y con PoC ya disponible, un ataque podría ser un paseo por el parque.
a través de pitidocomputadora