Adobe ColdFusion 安全更新警示

重点信息

• Adobe已发布重要的安全更新，以解决影响其ColdFusion网页开发产品的严重零日漏洞。
• 利用这些漏洞，攻击者可以远程控制受影响的系统。
• 强烈建议用户和管理员尽快应用最新的安全更新。

根据网络安全和基础设施安全局（CISA）周二发布的警报，Adobe已发布安全更新，以解决一些ColdFusion网页开发产品中存在的关键零日漏洞。CISA指出，攻击者可以利用这些漏洞远程控制受影响的系统。

截至7月18日，CISA鼓励用户和管理员查看Adobe的安全发布并及时应用必要的更新。以下Adobe产品的版本受到了此漏洞的影响：

产品版本 | 受影响的更新
—|—
ColdFusion 2018 | 更新17及更早版本
ColdFusion 2021 | 更新7及更早版本
ColdFusion 2023 | 更新1及更早版本

Netenrich的首席威胁猎手JohnBambenek指出，Adobe在过去一周迅速发布了两份通告，分别是针对CVE-2023-29298的和针对CVE-2023-38203的。

“遗憾的是，由于多家公司的信息存在冲突，情况变得有些复杂，”Bambenek表示。“不过，ColdFusion的最新更新将涵盖所有已公开的漏洞，并应以紧急方式进行应用。”

这种看法得到了的确认，他们指出Adobe在7月11日发布的针对CVE-2023-29298的修复并不完整，并且经过简单修改的攻击仍然可以针对7月14日发布的ColdFusion最新版本进行。

Rapid7研究人员通知Adobe其补丁不完整。尽管目前对CVE-2023-29298没有缓解措施，研究人员表示，更新至修复了CVE-2023-38203的最新ColdFusion版本仍能防止其团队观察到的攻击行为。

Tanium的首席安全顾问TimothyMorris也确认了Bambenek的观点，认为APSB23-41将覆盖APSB23-40，并涵盖以下多项漏洞：CVE-2023-29298,
CVE-2023-29300, CVE-2023-29301和CVE-2023-38203。