CISA adds critical Adobe ColdFusion flaw to its Known Exploited Vulnerabilities catalog
2023/08/22 SecurityAffairs — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、Adobe ColdFusion に存在する深刻な脆弱性 CVE-2023-26359 (CVSS : 9.8) を KEV (Known Exploited Vulnerabilities) カタログに追加した。2023年3月に Adobe は、この深刻な脆弱性を修正している。この欠陥は、Adobe ColdFusion における、信頼できないデータのデシリアライズに起因するものであり、正規ユーザーのコンテキストで、任意のコード実行を引き起こす可能性があるという。
Adobe のアドバイザリには、「Adobe ColdFusion バージョン2018 Update 15 以下、および、2021 Update 5 以下には、正規ユーザーのコンテキストで任意のコード実行にいたる脆弱性が存在する。この問題は、信頼されていないデータに対する、不十分なデシリアライゼーションに起因する」と記されている。
なお、このアドバイザリでは、ユーザーによる操作を必要としない悪用が可能だと指摘されている。また、Adobe は、この ColdFusion の脆弱性を悪用した、きわめて限定的な攻撃を認識していると述べている。
拘束力のある運用指令 Binding Operational Directive (BOD) 22-01 によると、それぞれの FCEB 機関は、カタログに掲載された欠陥を悪用した攻撃からネットワークを保護し、既知の脆弱性が悪用される重大なリスクを軽減するために、特定された期日までに対処しなければならない。CISA は連邦政府機関に対し、2023年9月11日までに、この欠陥を修正するよう命じている。
なお、専門家たちは、民間組織においても、このカタログを参照することで、インフラストラクチャーの脆弱性に対処することを推奨している。
CISA の KEV に Adobe ColdFusion の脆弱性 CVE-2023-26359 が追加されたとのことです。このカタログに掲載される Adobe の製品を調べてみたら、今年に入ってから4件目であり、その全てが ColdFusion に関するものでした。CISA の KEV は、ベンダー名などでの検索も可能ですので、ご活用ください。
IoT OT Security News 
You must be logged in to post a comment.