16 mars 2023Ravie LakshmananZero-Day / Vulnérabilité

Vulnérabilité Adobe Coldfusion

La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis le 15 mars ajoutée une vulnérabilité de sécurité affectant Adobe ColdFusion dans son catalogue de vulnérabilités connues exploitées (KEV), sur la base de preuves d’exploitation active.

Le défaut critique en question est CVE-2023-26360 (score CVSS : 8,6), qui pourrait être exploitée par un acteur malveillant pour obtenir l’exécution de code arbitraire.

« Adobe ColdFusion contient une vulnérabilité de contrôle d’accès inappropriée qui permet l’exécution de code à distance », CISA a dit.

La vulnérabilité affecte ColdFusion 2018 (mise à jour 15 et versions antérieures) et ColdFusion 2021 (mise à jour 5 et versions antérieures). Il a été résolu dans les versions Update 16 et Update 6, respectivement, publiées le 14 mars 2023.

Publicité

Il convient de noter que CVE-2023-26360 affecte également les installations ColdFusion 2016 et ColdFusion 11, mais n’est plus pris en charge par l’éditeur de logiciels car ils ont atteint fin de vie (EoL).

Bien que les détails exacts entourant la nature des attaques soient inconnus, Adobe a dit dans un avis qu’il est conscient que la faille est « exploitée à l’état sauvage dans des attaques très limitées ».

SÉMINAIRE EN LIGNE

Découvrez les dangers cachés des applications SaaS tierces

Êtes-vous conscient des risques associés à l’accès d’applications tierces aux applications SaaS de votre entreprise ? Rejoignez notre webinaire pour en savoir plus sur les types d’autorisations accordées et sur la façon de minimiser les risques.

RÉSERVEZ VOTRE PLACE

Les agences du Federal Civilian Executive Branch (FCEB) sont tenues d’appliquer les mises à jour d’ici le 5 avril 2023, afin de protéger leurs réseaux contre les menaces potentielles.

Charlie Arehart, un chercheur en sécurité reconnu pour avoir découvert et signalé la faille aux côtés de Pete Freitag, décrit comme un problème « grave » qui pourrait entraîner une « exécution de code arbitraire » et une « lecture arbitraire du système de fichiers ».

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.


Rate this post
Publicité
Article précédentLe premier ordinateur portable Windows alimenté par Snapdragon de Dell arrive à seulement 500 $
Article suivantPièce jointe – Révision | Frisson Horreur Queer
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici