La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis le 15 mars ajoutée une vulnérabilité de sécurité affectant Adobe ColdFusion dans son catalogue de vulnérabilités connues exploitées (KEV), sur la base de preuves d’exploitation active.
Le défaut critique en question est CVE-2023-26360 (score CVSS : 8,6), qui pourrait être exploitée par un acteur malveillant pour obtenir l’exécution de code arbitraire.
« Adobe ColdFusion contient une vulnérabilité de contrôle d’accès inappropriée qui permet l’exécution de code à distance », CISA a dit.
La vulnérabilité affecte ColdFusion 2018 (mise à jour 15 et versions antérieures) et ColdFusion 2021 (mise à jour 5 et versions antérieures). Il a été résolu dans les versions Update 16 et Update 6, respectivement, publiées le 14 mars 2023.
Il convient de noter que CVE-2023-26360 affecte également les installations ColdFusion 2016 et ColdFusion 11, mais n’est plus pris en charge par l’éditeur de logiciels car ils ont atteint fin de vie (EoL).
Bien que les détails exacts entourant la nature des attaques soient inconnus, Adobe a dit dans un avis qu’il est conscient que la faille est « exploitée à l’état sauvage dans des attaques très limitées ».
Découvrez les dangers cachés des applications SaaS tierces
Êtes-vous conscient des risques associés à l’accès d’applications tierces aux applications SaaS de votre entreprise ? Rejoignez notre webinaire pour en savoir plus sur les types d’autorisations accordées et sur la façon de minimiser les risques.
Les agences du Federal Civilian Executive Branch (FCEB) sont tenues d’appliquer les mises à jour d’ici le 5 avril 2023, afin de protéger leurs réseaux contre les menaces potentielles.
Charlie Arehart, un chercheur en sécurité reconnu pour avoir découvert et signalé la faille aux côtés de Pete Freitag, décrit comme un problème « grave » qui pourrait entraîner une « exécution de code arbitraire » et une « lecture arbitraire du système de fichiers ».
