Специалисты Adobe сообщили о критической уязвимости в популярном веб-приложении ColdFusion, получившей идентификатор CVE-2024-53961. Особую тревогу вызывает тот факт, что для данной уязвимости уже существует работающий proof-of-concept эксплойт, что значительно повышает риски для организаций, использующих уязвимые версии продукта.
Технические детали уязвимости
Обнаруженная брешь относится к типу path traversal и получила оценку 7,4 балла по шкале CVSS. При наличии установленного пакета pmtagent злоумышленники могут использовать эту уязвимость для несанкционированного доступа к файловой системе сервера. Основная опасность заключается в возможности чтения произвольных файлов за пределами разрешенного каталога, что может привести к компрометации конфиденциальных данных и нарушению работы системы.
Затронутые версии и обновления
Уязвимости подвержены следующие версии программного обеспечения:
— ColdFusion 2023 update 11
— ColdFusion 2021 update 17
Adobe выпустила исправления в версиях ColdFusion 2023 update 12 и ColdFusion 2021 update 18, которые полностью устраняют обнаруженную проблему.
Рекомендации по безопасности
Учитывая критический характер уязвимости и наличие действующего эксплойта, специалисты Adobe настоятельно рекомендуют администраторам систем незамедлительно установить обновления безопасности. При использовании Performance Monitoring Toolset (PMT) необходимо обеспечить его работоспособность во время процесса обновления. Дополнительно рекомендуется ознакомиться с официальными руководствами по блокировке для затронутых версий, чтобы минимизировать риски до установки патчей.
Несмотря на то, что оценка CVSS составляет 7,4 балла, Adobe классифицировала данную уязвимость как критическую с наивысшим приоритетом устранения (Приоритет 1). Это решение обусловлено существованием работающего proof-of-concept эксплойта и потенциально серьезными последствиями успешной атаки. Организациям, использующим ColdFusion, настоятельно рекомендуется провести аудит систем и применить все необходимые меры защиты в кратчайшие сроки.
