Adobe ColdFusion 2023 Updates: New Features, Enhancements, and Migration Strategies

米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は、「Adobe ColdFusion」をはじめ、脆弱性6件に対する悪用が確認されているとして注意を呼びかけた。Apple製品、CMS、BIツールなども対象となっている。 現地時間1月8日に「悪用が確認された脆弱性カタログ（KEV）」へ6件の脆弱性を追加したもの。いずれも悪用が確認されており、広く注意を呼びかけたもので、米行政機関などでは一定期間内に対応する義務がある。 「Adobe ColdFusion」に関しては、2023年7月に緊急性が高い脆弱性として修正された脆弱性「CVE-2023-38203」「CVE-2023-29300」が同リストへ追加された。信頼できないデータをデシリアライズし、リモートよりコードを実行されるおそれがある。 また「macOS」や「iOS」などApple製品のフォント解析処理に明らかとなった脆弱性「CVE-2023-41990」を同カタログへ加えた。「watchOS」「tvOS」なども影響を受ける。 同脆弱性は、2023年1月から7月にかけてリリースした各製品のアップデートにて修正したとされているが、アドバイザリ公表当時は脆弱性について公表していなかった。 CVE番号が採番されたのは同年9月に入ってからで同月各製品のセキュリティアドバイザリに追記。iOSを標的とした攻撃が行われたことを明らかにした。同脆弱性の悪用についてはKasperskyが言及している。

【セキュリティ ニュース】脆弱性6件に対する攻撃に注意を喚起 - 米当局（1ページ目 / 全2ページ）：Security NEXT

Critical Adobe ColdFusion Flaw Added to CISA's Exploited Vulnerability Catalog

Source: https://thehackernews.com/2023/08/critical-adobe-coldfusion-flaw-added-to.html

CISA: Adobe ColdFusion flaw leveraged to access government servers (CVE-2023-26360)

http://securitytc.com/SznCmq

Critical Adobe ColdFusion Flaw Added to CISA's Exploited Vulnerability Catalog

The Hacker News : The U.S. Cybersecurity and Infrastructure Security Agency (CISA) has added a critical security flaw in Adobe ColdFusion to its Known Exploited Vulnerabilities (KEV) catalog, based on evidence of active exploitation. The vulnerability, cataloged as CVE-2023-26359 (CVSS score: 9.8), relates to a deserialization flaw present in Adobe ColdFusion 2018 (Update 15 and earlier) and ColdFusion 2021 ( http://dlvr.it/Sv02nK Posted by : Mohit Kumar ( Hacker )

Threat Actors Exploit Adobe ColdFusion CVE-2023-26360 for Initial Access to Government Servers

http://i.securitythinkingcap.com/SzlVXg

Threat Actors Exploit Adobe ColdFusion CVE-2023-26360 for Initial Access to Government Servers

http://i.securitythinkingcap.com/Szkb5M

Adobe Rolls Out New Patches for Actively Exploited ColdFusion Vulnerability

Source: https://thehackernews.com/2023/07/adobe-rolls-out-new-patches-for.html

More info: https://helpx.adobe.com/security/products/coldfusion/apsb23-47.html

Adobe Rolls Out New Patches for Actively Exploited ColdFusion Vulnerability

The Hacker News : Adobe has released a fresh round of updates to address an incomplete fix for a recently disclosed ColdFusion flaw that has come under active exploitation in the wild. The critical shortcoming, tracked as CVE-2023-38205 (CVSS score: 7.5), has been described as an instance of improper access control that could result in a security bypass. It impacts the following versions: ColdFusion 2023 (Update http://dlvr.it/SsRn7P Posted by : Mohit Kumar ( Hacker )

Adobe ColdFusion vulnerabilities exploited to deliver web shells (CVE-2023-29298, CVE-2023-38203)

http://i.securitythinkingcap.com/SsMYsq

Prevent and detect Adobe ColdFusion exploitation (CVE-2023-26360, CVE-2023-26359)

http://i.securitythinkingcap.com/SlzB7V

CISA Issues Urgent Warning: Adobe ColdFusion Vulnerability Exploited in the Wild

The Hacker News : The U.S. Cybersecurity and Infrastructure Security Agency (CISA) on March 15 added a security vulnerability impacting Adobe ColdFusion to its Known Exploited Vulnerabilities (KEV) catalog, based on evidence of active exploitation. The critical flaw in question is CVE-2023-26360 (CVSS score: 8.6), which could be exploited by a threat actor to achieve arbitrary code execution. "Adobe ColdFusion http://dlvr.it/SkyvrC Posted by : Mohit Kumar ( Hacker )