La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha agregado una falla de seguridad crítica en Adobe ColdFusion a su catálogo de Vulnerabilidades Explotadas Conocidas ( KEV ), según la evidencia de explotación activa.
La vulnerabilidad, catalogada como CVE-2023-26359 (puntaje CVSS: 9.8), se relaciona con una falla de deserialización presente en Adobe ColdFusion 2018 (Actualización 15 y anterior) y ColdFusion 2021 (Actualización 5 y anterior) que podría resultar en la ejecución de código arbitrario en el contexto del usuario actual sin requerir ninguna interacción.
La deserialización (también conocida como deserialización) se refiere al proceso de reconstrucción de una estructura de datos o un objeto a partir de un flujo de bytes. Pero cuando se realiza sin validar su fuente o desinfectar su contenido, puede tener consecuencias inesperadas, como la ejecución de código o la denegación de servicio (DoS).
Adobe lo parchó como parte de las actualizaciones emitidas en marzo de 2023. Al momento de escribir, no está claro de inmediato cómo se abusa de la falla en la naturaleza .
Dicho esto, el desarrollo se produce más de cinco meses después de que CISA colocara otra falla que afectaba al mismo producto (CVE-2023-26360) en el catálogo de KEV. Adobe dijo que es consciente de la debilidad que se explota en «ataques muy limitados» dirigidos a ColdFusion.
A la luz de la explotación activa, las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar los parches necesarios antes del 11 de septiembre de 2023 para proteger sus redes contra posibles amenazas.
Fuente y redacción: thehackernews.com