Adobe 发布带外安全更新以解决 ColdFusion 的一个关键漏洞，专家警告称有 PoC 漏洞利用代码可用。

Adobe 发布了带外安全更新，以解决 ColdFusion 中的一个关键漏洞（CVE-2024-53961，CVSS 得分 7.4）。专家警告说，该漏洞的概念验证（PoC）利用代码已经存在。

该漏洞是对受限目录路径名的不当限制（“路径遍历”），可导致任意文件系统读取。

该漏洞影响 Adobe ColdFusion 2023 和 2021 版本。

“Adobe 发布了 ColdFusion 2023 和 2021 版本的安全更新。 这些更新解决了一个可能导致任意文件系统读取的关键漏洞。”

“Adobe意识到CVE-2024-53961存在一个已知的概念验证，可能导致任意文件系统读取。”

一位网名为 ma4ter 的研究人员向软件巨头报告了这一漏洞。

该公司建议用户将其安装程序更新到最新版本：

在撰写本文时，尚不清楚该公司是否意识到野外存在利用此漏洞的攻击。

12 月，美国网络安全和基础设施安全局（CISA）在其已知漏洞（KEV）目录中添加了另一个 Adobe ColdFusion 问题，跟踪名为 CVE-2024-20767。

CVE-2024-20767 漏洞（CVSS 得分为 7.4）是 ColdFusion 2023.6、2021.12 及更早版本中的不当访问控制问题。攻击者可利用漏洞获取任意文件读取。利用漏洞需要暴露管理面板。