2023-0566: Adobe ColdFusion: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2023-03-15 11:10)
- Neues Advisory
- Version 2 (2023-08-22 10:29)
- Die CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY (CISA) hat die Schwachstelle CVE-2023-26359 in ColdFusion in ihren 'Known Exploited Vulnerabilities Catalog' aufgenommen, da diese aktiv ausgenutzt wird.
Betroffene Software
Entwicklung
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen und beliebigen Programmcode auszuführen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben. Beide Schwachstellen, die das Ausführen beliebigen Programmcodes ermöglichen, werden vom Hersteller als kritisch bewertet.
Adobe veröffentlicht die ColdFusion Versionen 2018 Update 16 und 2021 Update 6 als Sicherheitsupdates, um die referenzierten Schwachstellen zu beheben. Zusätzlich weist Adobe, wie üblich, darauf hin, dass für eine umfängliche Absicherung des Servers neben dem ColdFusion Update auch eine Aktualisierung des Java Development Kits (JDK) bzw. Java Runtime Environments (JRE) auf die letzte verfügbare Version des LTS Releases für JDK 11 erfolgen muss.
Zusätzlich empfiehlt der Hersteller weiterhin auch die Umsetzung der Sicherheitskonfigurationsempfehlungen, die über die ColdFusion Security Seite verfügbar sind, sowie eine Überprüfung der in der Sicherheitsmeldung referenzierten versionsspezifischen Lockdown Guides.
Schwachstellen:
CVE-2023-26359
Schwachstelle in Adobe ColdFusion ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-26360
Schwachstelle in Adobe ColdFusion ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-26361
Schwachstelle in Adobe ColdFusion ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.