Adobe ออกแพตช์นอกรอบสำหรับแพลตฟอร์มการพัฒนาเว็บแอปพลิเคชัน ColdFusion แก้ช่องโหว่สามช่องโหว่ซึ่งรวมถึงช่องโหว่สองช่องที่จัดอยู่ในประเภท “critical”

ColdFusion 2016 อัปเดตเป็นเวอร์ชั่น 12 และ ColdFusion 2018 อัปเดตเป็นเวอร์ชั่น 5 เพื่อแก้ไขช่องโหว่การโจมตีในรูปแบบ path traversal ซึ่งทำให้หลบเลี่ยง access control ได้ (CVE-2019-8074) และแก้ช่องโหว่ command injection ซึ่งสามารถโจมตีเพื่อรันคำสั่งอันตรายได้ (CVE-2019-8073)

อีกช่องโหว่ที่ถูกแก้ไขเป็นช่องโหว่เปิดเผยข้อมูลโดยไม่จำเป็น ความร้ายแรงระดับ important

นักวิจัยจาก Foundeo, Knownsec 404 Team และ Aura Information Security ได้รับเครดิตในการค้นพบช่องโหว่เหล่านั้น

Adobe กล่าวว่ายังไม่พบการโจมตีที่ใช้ประโยชน์จากช่องโหว่เหล่านี้และเชื่อว่าจะยังไม่มีการโจมตีเร็วๆ นี้ อย่างไรก็ตามผู้ใช้ไม่ควรเพิกเฉยต่ออัปเดตแพตช์เนื่องจากเมื่อปีที่แล้วพบการโจมตีโดยใช้ช่องโหว่ใน ColdFusion

ที่มา securityweek

Adobe ได้ประกาศอัปเดตช่องโหว่ที่สำคัญในระบบ ColdFusion (CVE-2019-7816) ส่งผลให้ให้ผู้ไม่หวังดีสามารถสั่งรันคำสั่งที่เป็นอันตรายบนเครื่องที่มีปัญหาผ่านบริการของ ColdFusion ได้

ช่องโหว่เป็นข้อบกพร่องในส่วนของการป้องกันการอัพโหลดไฟล์ ผู้ไม่หวังดีจึงสามารถอัพโหลดไฟล์ที่เป็นอันตรายไปยังไดเรกทอรีที่สามารถเข้าถึงได้แบบออนไลน์ จากนั้นจึงสั่งรันไฟล์อันตรายดังกล่าวผ่านทาง HTTP นอกจากนี้เมื่อเดือนพฤศจิกายนก็ได้มีการค้นพบช่องโหว่ที่เป็นปัญหาเกี่ยวกับการจำกัดสิทธิ์ของการอัพโหลดไฟล์ใน ColdFusion (CVE-2018-15961) เช่นเดียวกัน และพบว่าช่องโหว่ดังกล่าวถูกใช้โจมตีโดยกลุ่มอาชญากรรมทางไซเบอร์จากประเทศจีน เพื่อทำการอัพโหลดไฟล์อันตรายที่มีชื่อว่า "China Chopper"

ผู้ใช้งานที่มีการใช้ ColdFusion 2018, ColdFusion 2016 และ ColdFusion 11 ควรทำการอัปเดตเพื่อแก้ไขปัญหาดังกล่าว

ที่มา:securityaffairs