Adobe’s Critical Response: Patching the CVE-2023-50164 Vulnerability in AEM Forms
2023/12/18 SecurityOnline — Adobe は、広く使用されている Web フォーム作成ツール Adobe Experience Manager Forms のパッチ・アップデートをリリースし、新たに発見されたセキュリティ脆弱性に対処した。この緊急アップデートは、深刻な脆弱性への直接的な対応であり、サイバーセキュリティに対する Adobe のコミットメントを裏付けるものである。
この脆弱性 CVE-2023-50164 (CVSS スコア:9.8) は、AEM Forms JEE 6.5.19.0 未満の、ファイル・アップロード・ロジック内の欠陥に起因するもので、不正なパス・トラバーサルにつながる可能性がある。この脆弱性は、Apache Struts で検出されたものであり、悪意のファイル・アップロードや、任意のコード実行につながる可能性がある。
Adobe は、この脆弱性の深刻度を、3段階の評価システムで最も深刻な “Critical” に分類し、この脆弱性に対処するためにデザイン/カスタマイズされた、AEM Forms 6.5 Service Pack 19.1 (6.5.19.1) をリリースした。
Adobe は、事態の深刻さを考慮しており、この脆弱性に最高の優先度 “1” を割り当てた。同社が強く推奨するのは、可能な限り早急に (理想的には 72時間以内)、 アップデートを適用することである。
Adobe は、JEE 6.5.19.0 以下の AEM Forms の全ユーザーに対して、直ちにシステムにパッチを適用するよう促している。このパッチは、バージョン 6.5.19.1/6.5.13.0~6.5.18.0 以上で利用可能である。この脆弱性には回避策はなく、パッチを当てることが唯一の防御策であることを忘れないでほしい。
パッチの当て方については下記の通りだ:
- パッチをダウンロードする:Adobe の Web サイトにアクセスし、使用している AEM Forms のバージョンに合ったパッチをダウンロードする。
- パッチを適用する: Adobe のインストラクションに従って、システムにパッチをインストールする。
- AEM Forms を再起動する: パッチをインストールしたら、AEM Forms サーバーを再起動して、修正が適用されていることを確認する。
Apache Struts の脆弱性 CVE-2023-50164 ですが、Adobe の Experience Manager Forms に影響が及んでいるとのことです。この問題に関する第一報は、2023/12/07 の「Apache Struts の RCE 脆弱性 CVE-2023-50164 が FIX」ですが、第二報である 2023/12/13 の「脆弱性 CVE-2023-50164:PoC エクスプロイトがリリース」の時点では、すでに Cisco 製品への影響が伝えられていました。どこまで広がるのかと、心配になります。
IoT OT Security News 
You must be logged in to post a comment.