Adobe ออกแพตช์นอกรอบแก้ช่องโหว่ command injection และ Path Traversal ใน ColdFusion

 

Adobe ออกแพตช์นอกรอบสำหรับแพลตฟอร์มการพัฒนาเว็บแอปพลิเคชัน ColdFusion แก้ช่องโหว่สามช่องโหว่ซึ่งรวมถึงช่องโหว่สองช่องที่จัดอยู่ในประเภท “critical”

ColdFusion 2016 อัปเดตเป็นเวอร์ชั่น 12 และ ColdFusion 2018 อัปเดตเป็นเวอร์ชั่น 5 เพื่อแก้ไขช่องโหว่การโจมตีในรูปแบบ path traversal ซึ่งทำให้หลบเลี่ยง access control ได้ (CVE-2019-8074) และแก้ช่องโหว่ command injection ซึ่งสามารถโจมตีเพื่อรันคำสั่งอันตรายได้ (CVE-2019-8073)

อีกช่องโหว่ที่ถูกแก้ไขเป็นช่องโหว่เปิดเผยข้อมูลโดยไม่จำเป็น ความร้ายแรงระดับ important

นักวิจัยจาก Foundeo, Knownsec 404 Team และ Aura Information Security ได้รับเครดิตในการค้นพบช่องโหว่เหล่านั้น

Adobe กล่าวว่ายังไม่พบการโจมตีที่ใช้ประโยชน์จากช่องโหว่เหล่านี้และเชื่อว่าจะยังไม่มีการโจมตีเร็วๆ นี้ อย่างไรก็ตามผู้ใช้ไม่ควรเพิกเฉยต่ออัปเดตแพตช์เนื่องจากเมื่อปีที่แล้วพบการโจมตีโดยใช้ช่องโหว่ใน ColdFusion

ที่มา securityweek