ادوبی آسیب‌پذیری‌های تزریق فرمان و پیمایش مسیر ColdFusion را وصله می‌کند

به‌روزرسانی‌های منتشرشده توسط ادوبی در وصله‌ی روز سه‌شنبه برای بستر توسعه‌ی برنامه‌ی تحت وب ColdFusion سه آسیب‌پذیری از جمله دو آسیب‌پذیری بحرانی را رفع می‌کند. ColdFusion 2016 Update ۱۲ و ColdFusion 2018 Update 5 یک آسیب‌پذیری بحرانی پیمایش مسیر که ممکن است برای دور زدن کنترل‌ دسترسی (CVE-2019-8074) مورد بهره‌برداری قرار گیرد و یک آسیب‌پذیری بحرانی تزریق فرمان را که می‌توان از آن برای اجرای کد دلخواه (CVE-2019-8073) استفاده کرد، رفع می‌کند.

آخرین حفره‌ی امنیتی که توسط ادوبی به‌عنوان یک مسأله‌ی دور زدن امنیتی توصیف شده است و می‌تواند منجر به افشای اطلاعات شود، با درجه‌ی شدت «مهم» ارزیابی شده است.

ادوبی به خاطر گزارش این آسیب‌پذیری‌ها به پژوهش‌گران Foundeo، Knownsec 404 Team و Aura Information Security پاداش داده است.

ادوبی بیان می‌کند که از هیچ حمله‌ای که از این آسیب‌پذیری‌ها بهره‌برداری کرده باشد، اطلاع ندارد و معتقد است که بعید است به این زودی از این آسیب‌پذیری‌ها بهره‌برداری شود. بااین‌حال، کاربران نباید به‌روزرسانی‌هایی را که برای مقابله با بهره‌برداری از آسیب‌پذیری‌های ColdFusion توسط مهاجمان در نظر گرفته می‌شود، نادیده بگیرند. حداقل دو آسیب‌پذیری ColdFusion در سال گذشته مورد بهره‌برداری قرار گرفته است. به‌روزرسانی‌های وصله‌ی روز سه‌شنبه که توسط ادوبی و در ماه جاری منتشر شد، دو آسیب‌پذیری اجرای کد دلخواه در فلش‌پلیر و یک مسأله‌ی سرقت DLL در Application Manager را رفع کرده است.

منبع

پست‌های مشابه

Leave a Comment