2023-1620: Adobe ColdFusion: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2023-07-17 14:39)

Neues Advisory

Version 2 (2023-07-19 18:38)

Wie Sicherheitsforscher von Rapid7 berichten, wird die Schwachstelle CVE-2023-38203 bereits aktiv ausgenutzt. Zwar wurde die Schwachstelle CVE-2023-29298 (APSB23-40, Umgehen von Sicherheitsvorkehrungen) angeblich auch mit den aktuellsten Versionen noch nicht wirksam geschlossen, aber die verkettete Ausnutzung der Schwachstellen CVE-2023-29298 und CVE-2023-38203 und damit die Ausführung beliebigen Programmcodes kann durch die Installation der verfügbaren Updates verhindert werden.

Betroffene Software

Entwicklung

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann eine Schwachstelle aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen.

Für die Ausnutzung der Schwachstelle sind keine Privilegien erforderlich.

Adobe veröffentlicht die ColdFusion Versionen 2018 Update 18, ColdFusion 2021 Update 8 sowie ColdFusion 2023 Update 2 als Sicherheitsupdates, um die Schwachstelle zu beheben. Zusätzlich weist Adobe, wie üblich, darauf hin, dass für eine umfängliche Absicherung des Servers neben dem ColdFusion Update auch eine Aktualisierung des Java Development Kits (JDK) bzw. Java Runtime Environments (JRE) auf die letzte verfügbare Version des LTS Releases für JDK 11 erfolgen muss.

Zusätzlich empfiehlt der Hersteller weiterhin auch die Umsetzung der Sicherheitskonfigurationsempfehlungen, die über die ColdFusion Security Seite verfügbar sind, sowie eine Überprüfung der in der Sicherheitsmeldung referenzierten versionsspezifischen Lockdown Guides.

Schwachstellen:

CVE-2023-38203

Schwachstelle in Adobe ColdFusion ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.