Adobe ได้ประกาศอัปเดตช่องโหว่ที่สำคัญในระบบ ColdFusion (CVE-2019-7816) ส่งผลให้ให้ผู้ไม่หวังดีสามารถสั่งรันคำสั่งที่เป็นอันตรายบนเครื่องที่มีปัญหาผ่านบริการของ ColdFusion ได้
ช่องโหว่เป็นข้อบกพร่องในส่วนของการป้องกันการอัพโหลดไฟล์ ผู้ไม่หวังดีจึงสามารถอัพโหลดไฟล์ที่เป็นอันตรายไปยังไดเรกทอรีที่สามารถเข้าถึงได้แบบออนไลน์ จากนั้นจึงสั่งรันไฟล์อันตรายดังกล่าวผ่านทาง HTTP นอกจากนี้เมื่อเดือนพฤศจิกายนก็ได้มีการค้นพบช่องโหว่ที่เป็นปัญหาเกี่ยวกับการจำกัดสิทธิ์ของการอัพโหลดไฟล์ใน ColdFusion (CVE-2018-15961) เช่นเดียวกัน และพบว่าช่องโหว่ดังกล่าวถูกใช้โจมตีโดยกลุ่มอาชญากรรมทางไซเบอร์จากประเทศจีน เพื่อทำการอัพโหลดไฟล์อันตรายที่มีชื่อว่า "China Chopper"
ผู้ใช้งานที่มีการใช้ ColdFusion 2018, ColdFusion 2016 และ ColdFusion 11 ควรทำการอัปเดตเพื่อแก้ไขปัญหาดังกล่าว
ที่มา:securityaffairs
You must be logged in to post a comment.