Adobe’dan acil uyarı: Güvenlik açığı tespit edildi, hemen güncelleyin

Diğer platformlara kıyasla daha az güvenlik sorunlarıyla gündeme gelen Adobe, ColdFusion'da tespit ettiği yeni bir açık sonrası acil güncelleme yayınladı.

Web uygulamalarının yanı sıra, API’ler ve yazılım geliştirmek için popüler olan platformlardan ColdFusion, yeni bir güvenlik açığına karşı kritik bir güncelleme aldı.

COLDFUSION 2021 VE 2023 SÜRÜMLERİNİ ETKİLİYOR

CVE-2024-53961 olarak izlenen güvenlik açığı, ColdFusion 2021 ve 2023 sürümlerini etkileyen bir yol geçiş hatası olarak tanımlanıyor.

CWE'ye göre 7.4 puanlık güvenlik açığı, e programlar veya kütüphaneler gibi kodları çalıştırmak için kullanılan kritik dosyaları oluşturup, uzaktan üzerine yazmak için kullanılabilme potansiyeline sahipti.

Öte yandan techradar.com’a göre NIST, “Bir saldırgan, uygulama tarafından belirlenen kısıtlı dizinin dışındaki dosya veya dizinlere erişmek için bu güvenlik açığından yararlanabilir. Bu durum hassas bilgilerin ifşa edilmesine veya sistem verilerinin manipüle edilmesine yol açabilir.” ifadelerini kullandı.

Bu yalnızca teorik bir durum da değil. Öyle ki güvenlik şirketlerinden BleepingComputer’a göre, proof-of-concept (PoC) istismar kodu halihazırda mevcut. 

Adobe, CVE-2024-53961’in bilinen bir proof-of-concept'e sahip olduğunu ve bunun keyfi bir dosya sistemi okumasına neden olabileceğini biliyor," diye bir güvenlik danışmanlığı belgesinde belirtti. Yayında vurgulandığı gibi şirket bu hatayı "Öncelik 1" şiddet derecesi ile değerlendirdi. Bu, "belirli bir ürün sürümü ve platform için vahşi ortamda istismar edilme riski daha yüksek" anlamına geliyor.

Adobe, kullanıcıların verilen yamaları derhal, tercihen 72 saat içinde yapmalarını tavsiye ediyor. ColdFusion 2021 için bu;  Güncelleme 18; ColdFusion 2023 için ise Güncelleme 12 olarak geliyor.

Sizler de olası bir açıktan etkilenmemek için acilen son sürüme güncelleyin.