بهروزرسانیهای منتشرشده توسط ادوبی در وصلهی روز سهشنبه برای بستر توسعهی برنامهی تحت وب ColdFusion سه آسیبپذیری از جمله دو آسیبپذیری بحرانی را رفع میکند. ColdFusion 2016 Update ۱۲ و ColdFusion 2018 Update 5 یک آسیبپذیری بحرانی پیمایش مسیر که ممکن است برای دور زدن کنترل دسترسی (CVE-2019-8074) مورد بهرهبرداری قرار گیرد و یک آسیبپذیری بحرانی تزریق فرمان را که میتوان از آن برای اجرای کد دلخواه (CVE-2019-8073) استفاده کرد، رفع میکند.
آخرین حفرهی امنیتی که توسط ادوبی بهعنوان یک مسألهی دور زدن امنیتی توصیف شده است و میتواند منجر به افشای اطلاعات شود، با درجهی شدت «مهم» ارزیابی شده است.
ادوبی به خاطر گزارش این آسیبپذیریها به پژوهشگران Foundeo، Knownsec 404 Team و Aura Information Security پاداش داده است.
ادوبی بیان میکند که از هیچ حملهای که از این آسیبپذیریها بهرهبرداری کرده باشد، اطلاع ندارد و معتقد است که بعید است به این زودی از این آسیبپذیریها بهرهبرداری شود. بااینحال، کاربران نباید بهروزرسانیهایی را که برای مقابله با بهرهبرداری از آسیبپذیریهای ColdFusion توسط مهاجمان در نظر گرفته میشود، نادیده بگیرند. حداقل دو آسیبپذیری ColdFusion در سال گذشته مورد بهرهبرداری قرار گرفته است. بهروزرسانیهای وصلهی روز سهشنبه که توسط ادوبی و در ماه جاری منتشر شد، دو آسیبپذیری اجرای کد دلخواه در فلشپلیر و یک مسألهی سرقت DLL در Application Manager را رفع کرده است.