PoC-Exploit verfügbar: Adobe legt Patch für Coldfusion nach
Kurz nach dem Juli-Patchday legt Adobe weitere Updates nach, um eine kritische Schwachstelle in Coldfusion abzudichten. PoC-Exploitcode wurde entdeckt.
(Bild: solarseven/Shutterstock.com)
Adobe muss erneut Updates für Adobe Coldfusion verteilen, die eine kritische Sicherheitslücke darin schließen. In einem Blog sei zudem Proof-of-Concept-Code aufgetaucht, der den Misssbrauch der Schwachstelle demonstriert.
Erst in der Nacht zum Mittwoch dieser Woche hatte Adobe den Juli-Patchday begangen und drei Sicherheitslücken, darunter ebenfalls eine kritische, in Coldfusion abgedichtet. In einer am Freitagabend unserer Zeit veröffentlichten Sicherheitsmeldung warnt der Adobe aktuell, dass Angreifer eine neue kritische Lücke in Coldfusion 2023, 2022 und 2018 missbrauchen können, um beliebigen Code einzuschleusen und auszuführen.
Adobe Coldfusion: PoC für neue Lücke entdeckt
Details zur Lücke nennt der Hersteller nicht. Er erläutert lediglich, dass es um Fehler bei der Deserialisierung von nicht vertrauenswürdigen Daten gehe (CVE-2023-38203, CVSS 9.8, Risiko "kritisch"). Zudem sei dem Hersteller bekannt, dass ein Blog einen Proof-of-Concept gepostet hat. Dies erhöht die Wahrscheinlichkeit, dass kriminelle Vereinigungen den Exploit in ihr Standardarsenal aufnehmen und die Lücke angreifen.
Die aktualisierten Fassungen Adobe Coldfusion 2018 Update 18, 2021 Update 8 sowie 2023 Update 2 dichten das Sicherheitsleck ab. Die Update-Anleitungen mit Links und weiteren Hinweisen liefert Adobe für jede einzelne Version separat:
Coldfusion 2018 Update 18
Coldfusion 2021 Update 8
Coldfusion 2023 Update 2
Die Priorität stuft Adobe auf 1 ein, was bedeutet, dass die Schwachstelle sehr wahrscheinlich in freier Wildbahn angegriffen wird. IT-Verantwortlichen rät Adobe bei dieser Priorisierung, die Updates so schnell wie möglich zu installieren.
(dmk)
