أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) في 15 مارس ثغرة أمنية تؤثر على Adobe ColdFusion إلى كتالوج الثغرات الأمنية المستغلة المعروفة (KEV) ، بناءً على دليل على الاستغلال النشط.
العيب الخطير في السؤال هو CVE-2023-26360 (درجة CVSS: 8.6) ، والذي يمكن استغلاله من قبل ممثل التهديد لتحقيق تنفيذ تعليمات برمجية تعسفية.
قالت CISA: "يحتوي Adobe ColdFusion على ثغرة أمنية غير مناسبة للتحكم في الوصول تسمح بتنفيذ التعليمات البرمجية عن بُعد" .
تؤثر الثغرة الأمنية على ColdFusion 2018 (التحديث 15 والإصدارات السابقة) و ColdFusion 2021 (التحديث 5 والإصدارات السابقة). تمت معالجته في الإصدارين 16 و التحديث 6 ، على التوالي ، اللذين تم إصدارهما في 14 مارس 2023.
تجدر الإشارة إلى أن CVE-2023-26360 يؤثر أيضًا على تركيبات ColdFusion 2016 و ColdFusion 11 ، وكلاهما لم يعد مدعومًا من قبل شركة البرمجيات حيث وصلوا إلى نهاية العمر الافتراضي (EoL).
في حين أن التفاصيل الدقيقة المحيطة بطبيعة الهجمات غير معروفة ، قالت Adobe في تقرير استشاري إنها تدرك أن الخلل "يتم استغلاله في البرية في هجمات محدودة للغاية".
يتعين على وكالات الفرع التنفيذي المدني الفيدرالي (FCEB) تطبيق التحديثات بحلول 5 أبريل 2023 ، لحماية شبكاتها من التهديدات المحتملة.
ووصف تشارلي أريهارت ، الباحث الأمني الذي يُنسب إليه الفضل في اكتشاف الخلل والإبلاغ عنه جنبًا إلى جنب مع بيت فريتاغ ، الأمر بأنه "مشكلة خطيرة" يمكن أن تؤدي إلى "تنفيذ تعسفي للرمز" و "قراءة نظام ملفات تعسفي".