Adobe เตือนเกี่ยวกับช่องโหว่ร้ายแรงใน ColdFusion ที่มีโค้ดโจมตี PoC
Adobe ได้ปล่อยอัปเดตความปลอดภัยฉุกเฉินเพื่อแก้ไขช่องโหว่ร้ายแรงในซอฟต์แวร์ ColdFusion (CVE-2024-53961) ซึ่งเป็นช่องโหว่แบบ Path Traversal ที่อาจทำให้ผู้โจมตีสามารถอ่านไฟล์ใดๆ บนเซิร์ฟเวอร์ที่มีความเสี่ยงได้ โดยมีโค้ดโจมตี Proof-of-Concept (PoC) Adobe ให้ความสำคัญกับช่องโหว่นี้ในระดับ “Priority 1” เนื่องจากมีความเสี่ยงสูงต่อการตกเป็นเป้าหมายการโจมตี และแนะนำให้ผู้ดูแลระบบติดตั้งแพตช์ (ColdFusion 2021 Update 18 และ ColdFusion 2023 Update 12) ภายใน 72 ชั่วโมง พร้อมปรับการตั้งค่าความปลอดภัยตามคู่มือ Lockdown แม้ว่าจะยังไม่มีการยืนยันว่าช่องโหว่นี้ถูกใช้โจมตีในโลกออนไลน์ แต่ Adobe แนะนำให้ลูกค้าศึกษาวิธีป้องกันการโจมตีเพิ่มเติม เช่น การตั้งค่า serial filter CISA (หน่วยงานด้านความมั่นคงไซเบอร์ของสหรัฐฯ) เคยเตือนถึงความสำคัญของการปิดช่องโหว่ Path Traversal ซึ่งเป็นปัญหาที่พบได้บ่อยในผลิตภัณฑ์ซอฟต์แวร์ และชี้ว่าช่องโหว่นี้อาจถูกใช้เพื่อเข้าถึงข้อมูลสำคัญหรือเจาะระบบของเป้าหมาย ในอดีต ColdFusion เคยเป็นเป้าหมายของการโจมตีผ่านช่องโหว่ร้ายแรงหลายครั้ง รวมถึงการโจมตีแบบ Zero-Day…