美国网络安全和基础设施安全局警告联邦机构修复Windows和Adobe ColdFusion漏洞，以防范网络攻击。CISA将两漏洞加入KEV，敦促三周内修复。Windows内核漏洞源于不受信任指针取消引用，Adobe ColdFusion漏洞源于访问控制不当。

💻Windows内核漏洞（CVE-2024-35250），源于不受信任指针取消引用，本地攻击者可获取系统权限

📄Adobe ColdFusion漏洞（CVE-2024-20767），源于访问控制不当，远程攻击者可读取敏感文件

🔧微软和Adobe已发布相应修复补丁，但网上有概念验证漏洞利用代码公开

IT之家 12 月 17 日消息，美国网络安全和基础设施安全局（CISA）警告联邦机构，需尽快修复 Windows 和 Adobe ColdFusion 漏洞，以防范潜在的网络攻击。

CISA 已将这两个漏洞添加到其“已知被利用漏洞目录”（KEV），敦促联邦机构在三周内完成修复。

Windows 内核漏洞 (CVE-2024-35250)

IT之家注：该漏洞追踪编号为 CVE-2024-35250，源于不受信任的指针取消引用漏洞，整个过程不需要用户交互，本地攻击者可以获取系统权限。

受影响组件为 Microsoft 内核流服务 (MSKSSRV.SYS)，DEVCORE 研究团队在 Pwn2Own 2024 黑客大赛上利用该漏洞，成功攻破了安装最新更新的 Windows 11 系统。

微软已在 2024 年 6 月的补丁星期二发布了修复补丁，漏洞利用的概念验证代码于今年 10 月在 GitHub 上公开。

Adobe ColdFusion 漏洞 (CVE-2024-20767)

该漏洞追踪编号为 CVE-2024-20767，源于访问控制不当，让未经身份验证的远程攻击者读取系统及其他敏感文件。

攻击者可利用暴露在互联网上的 ColdFusion 服务器管理面板绕过安全措施，执行任意文件系统写入操作。

Fofa 搜索引擎已追踪到超过 145,000 个暴露在互联网上的 ColdFusion 服务器，但难以确定哪些服务器的管理面板可被远程访问。

Adobe 已于 2024 年 3 月发布了修复补丁，但此后多个概念验证漏洞利用代码已在网上公开。