Katalog CVE

Aktywnie wykorzystywana w atakach

Adobe ColdFusion Deserialization of Untrusted Data Vulnerability

Adobe — ColdFusion · Figuruje w katalogu CISA KEV od 2024-01-08. Oznacza to potwierdzone ataki w środowisku produkcyjnym.

Wymagane działanie: Apply mitigations per vendor instructions or discontinue use of the product if mitigations are unavailable.

CVE-2023-38203

KrytyczneCVSS 9.8KEV
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Bardzo wysokie ryzyko
97.00%

Percentyl 100 — wyżej niż 100% wszystkich znanych CVE

Streszczenie

Wersje Adobe ColdFusion 2018u17 (i wcześniejsze), 2021u7 (i wcześniejsze) oraz 2023u1 (i wcześniejsze) są podatne na lukę w deserializacji niezaufanych danych, co może prowadzić do wykonania dowolnego kodu. Wykorzystanie tej luki nie wymaga interakcji użytkownika.

Ocena ryzyka

Wykorzystanie tej podatności może prowadzić do nieautoryzowanego dostępu i pełnej kontroli nad systemem, co stanowi poważne zagrożenie dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się aktualizację Adobe ColdFusion do najnowszej wersji, aby zniwelować ryzyko związane z tą podatnością.

Oryginalny opis (angielski, źródło NVD)

Adobe ColdFusion versions 2018u17 (and earlier), 2021u7 (and earlier) and 2023u1 (and earlier) are affected by a Deserialization of Untrusted Data vulnerability that could result in Arbitrary code execution. Exploitation of this issue does not require user interaction.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS