Adobe исправляет критическую уязвимость десериализации, но эксплойты сохраняются

CISA добавила уязвимость, занесенную в каталог как CVE-2023-26359, в Каталог известных эксплуатируемых уязвимостей с оценкой CVSS 9,8 из-за активной эксплуатации.

Уязвимость представляет собой недостаток десериализации, затрагивающий Adobe ColdFusion 2018 (обновление 15 и более ранние версии) и Adobe ColdFusion 2021 (обновление 5 и более ранние версии), и может привести к выполнению произвольного кода.

Сериализация преобразует объект в формат данных, который в конечном итоге можно восстановить позже, например, с JSON и XML и их сериализованными данными. Десериализация — это обратный процесс, при котором данные, структурированные в определенном формате, перестраиваются в объект. Когда десериализация происходит без проверки доверенного источника, это может привести к отказу в обслуживании или выполнению кода.

Эти уязвимости, которые считаются критическими и важными и могут привести к утечкам памяти, были исправлены в марте. Неясно, как эта уязвимость используется в реальных условиях, но Adobe заявляет, что это происходит только «в очень ограниченных атаках».

Из-за такой активной эксплуатации у агентств Федеральной гражданской исполнительной власти (FCEB) есть крайний срок — 11 сентября — для установки этих исправлений и защиты от потенциальных угроз.

Adobe рекомендует клиентам применить настройки конфигурации безопасности, «как указано на странице безопасности ColdFusion, а также просмотреть соответствующие руководства по блокировке». Он также рекомендует «обновить ColdFusion JDK/JRE до последней версии выпусков LTS для JDK 11». Это связано с тем, что применение обновления ColdFusion без соответствующего обновления JDK не обеспечит безопасность сервера.

Adobe благодарит Патрика Вареса за сообщение о проблемах, связанных с уязвимостью CVE-2023-26359.