Aktywnie wykorzystywana w atakach
Adobe ColdFusion Deserialization of Untrusted Data Vulnerability
Adobe — ColdFusion · Figuruje w katalogu CISA KEV od 2024-01-08. Oznacza to potwierdzone ataki w środowisku produkcyjnym.
Wymagane działanie: Apply mitigations per vendor instructions or discontinue use of the product if mitigations are unavailable.
CVE-2023-38203
KrytyczneCVSS 9.8KEVPrawdopodobieństwo exploitacji (EPSS)
Bardzo wysokie ryzykoPercentyl 100 — wyżej niż 100% wszystkich znanych CVE
Streszczenie
Wersje Adobe ColdFusion 2018u17 (i wcześniejsze), 2021u7 (i wcześniejsze) oraz 2023u1 (i wcześniejsze) są podatne na lukę w deserializacji niezaufanych danych, co może prowadzić do wykonania dowolnego kodu. Wykorzystanie tej luki nie wymaga interakcji użytkownika.
Ocena ryzyka
Wykorzystanie tej podatności może prowadzić do nieautoryzowanego dostępu i pełnej kontroli nad systemem, co stanowi poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się aktualizację Adobe ColdFusion do najnowszej wersji, aby zniwelować ryzyko związane z tą podatnością.
Oryginalny opis (angielski, źródło NVD)
Adobe ColdFusion versions 2018u17 (and earlier), 2021u7 (and earlier) and 2023u1 (and earlier) are affected by a Deserialization of Untrusted Data vulnerability that could result in Arbitrary code execution. Exploitation of this issue does not require user interaction.

