Adobe发布了针对ColdFusion 2023和2021版本的紧急安全更新，以修复一个严重的路径遍历漏洞CVE-2024-53961。该漏洞允许攻击者读取系统中的任意文件，可能导致敏感数据泄露。由于概念验证漏洞利用已存在，用户必须立即更新。受影响的版本包括ColdFusion 2023的更新11及更早版本，以及ColdFusion 2021的更新17及更早版本。Adobe已发布更新，建议用户升级到ColdFusion 2023的更新12或ColdFusion 2021的更新18。

⚠️ **紧急漏洞**: Adobe ColdFusion 存在CVE-2024-53961严重漏洞，可能允许攻击者读取系统任意文件，威胁数据安全。

🗂️ **路径遍历**: 漏洞源于“路径遍历”弱点，攻击者可绕过安全限制，访问受限目录外的文件。

🚨 **PoC存在**: 概念验证PoC漏洞利用已存在，攻击者可能已在积极利用此漏洞，用户需立即更新。

✅ **更新修复**: 受影响版本为ColdFusion 2023更新11及更早版本，以及ColdFusion 2021更新17及更早版本，建议升级到最新版更新12或更新18。

12月23日，Adobe发布紧急安全更新，以解决一个ColdFusion严重漏洞，已存在概念验证（PoC）漏洞利用。

漏洞被标识为CVE-2024-53961，影响Adobe ColdFusion的2023和2021版本。可能允许攻击者读取系统中的任意文件，暴露敏感数据和配置文件。

这个漏洞是由“路径遍历”弱点引起的，源于对受限目录的路径名限制不当。通过利用这个缺陷，攻击者可以绕过安全限制，未经授权地访问预期目录之外的文件。

概念验证PoC漏洞利用已存在

令人担忧的是，Adobe已确认CVE-2024-53961的概念验证漏洞利用已经存在。这意味着攻击者有可能积极利用这个漏洞，因此用户必须立即更新ColdFusion安装。

受影响的版本和补救措施

以下ColdFusion版本受到影响：

ColdFusion 2023：更新11及更早版本ColdFusion 2021：更新17及更早版本

Adobe已发布更新解决漏洞，强烈建议用户升级到最新版本：

ColdFusion 2023：更新12ColdFusion 2021：更新18

Adobe尚未披露此漏洞是否已被广泛利用。公司建议客户查看Adobe更新的串行过滤器文档，以便获取更多关于如何阻止不安全的Wddx反序列化攻击的信息。

 

 

---

转自E安全，原文链接：https://mp.weixin.qq.com/s/oO5YQIVgwD5yicAeY8z3kw

封面来源于网络，如有侵权请联系删除