Adobe、デシリアライゼーションの重大な脆弱性にパッチを適用したが、悪用は依然として残る

CISA は、活発な悪用により、CVSS スコア 9.8 の脆弱性 (CVE-2023-26359 としてカタログ化) を既知の悪用された脆弱性カタログに追加しました。

この脆弱性は、Adobe ColdFusion 2018 (Update 15 以前) および Adob​​e ColdFusion 2021 (Update 5 以前) に影響を与える逆シリアル化の欠陥であり、任意のコードが実行される可能性があります。

シリアル化により、オブジェクトは、JSON や XML、およびそれらのシリアル化されたデータと同様に、後で復元できるデータ形式に変換されます。 逆シリアル化は、このプロセスの逆で、何らかの形式で構造化されたデータがオブジェクトに再構築されます。 信頼できるソースを検証せずに逆シリアル化が発生すると、サービス拒否やコード実行が発生する可能性があります。

これらの脆弱性は重大かつ重要とみなされ、メモリリークを引き起こす可能性があり、3月にパッチが適用された。 この欠陥が実際にどのように悪用されているかは不明だが、Adobe はこれが「非常に限定された攻撃で」のみ発生していると述べている。

この積極的な悪用のため、連邦文民行政府 (FCEB) 機関は、これらのパッチを適用し、潜在的な脅威から保護する期限を 9 月 11 日に設定しています。

アドビでは、お客様に対し、「ColdFusion セキュリティ ページの概要に従って」セキュリティ構成設定を適用するとともに、それぞれのロックダウン ガイドを確認することをお勧めします。 また、「ColdFusion JDK/JRE を JDK 11 の LTS リリースの最新バージョンに更新する」ことも推奨しています。 これは、対応する JDK アップデートなしで ColdFusion アップデートを適用すると、サーバーを安全に保つことができないためです。

Adobe は、脆弱性 CVE-2023-26359 に関連する問題を報告した Patrick Vares 氏を称賛しています。