Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad con PoC pública que afecta a Adobe ColdFusion, que permitiría a un atacante realizar ejecución de código arbitrario en el sistema afectado.
La vulnerabilidad identificada como CVE-2023-38203, de severidad “Crítica”, con una puntuación asignada de 9.8. Esta vulnerabilidad se debe a una falla de validación de datos en el proceso de deserialización de Adobe ColdFusion. Esto permitiría a un atacante proporcionando datos especialmente diseñados, provocar ejecución de código arbitrario y comprometer al sistema afectado.
Los productos afectados son:
- ColdFusion 2018, Update 17 y anteriores en todas las plataformas.
- ColdFusion 2021, Update 7 y anteriores en todas las plataformas.
- ColdFusion 2023, Update 1 y anteriores en todas las plataformas.
Adobe recomienda actualizar la versión de ColdFusion JDK/JRE LTS a las versiones de actualización más recientes provistas en los siguientes enlaces:
Nota: La aplicación de la actualización de ColdFusion sin la actualización de JDK correspondiente NO protegerá el servidor.
Adicionalmente, Adobe también recomienda a los clientes aplicar los valores de configuración de seguridad provistas en las siguientes guías:
- Guía de bloqueo automático de ColdFusion 2018
- Guía de bloqueo de ColdFusion 2021
- Guía de bloqueo de ColdFusion 2023
Referencias:
- https://www.securityweek.com/exploitation-of-coldfusion-vulnerability-reported-as-adobe-patches-another-critical-flaw/
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-38203
- https://helpx.adobe.com/security/products/coldfusion/apsb23-41.html
- https://www.adobe.com/go/cf2018_update18
- https://www.adobe.com/go/cf2021_update8
- https://www.adobe.com/go/cf2023_update2
- https://helpx.adobe.com/coldfusion/using/server-lockdown.html
- https://www.adobe.com/content/dam/cc/us/en/products/coldfusion/pdfs/cf-starter-kits/coldfusion-2021-lockdown-guide-1.1.pdf
- https://www.adobe.com/go/cf2023_lockdown_guide