CISA将Adobe ColdFusion漏洞添加到已知被利用漏洞目录中

美国CISA在其已知利用漏洞目录中添加了Adobe ColdFusion中一个被积极利用的漏洞。
美国网络安全和基础设施安全局(CISA)已将Adobe ColdFusion中的一个严重漏洞添加到其已知利用漏洞目录中,该漏洞被跟踪为CVE-2023-26360(CVSS 评分:8.6) 。
本周Adobe发布了ColdFusion 2021和2018版的安全更新,以解决在非常有限的攻击中被利用的严重漏洞CVE-2023-26360。
“Adobe意识到CVE-2023-26360已在针对Adobe ColdFusion的非常有限的攻击中被野外利用。”
该漏洞是一种不当访问控制,可允许远程攻击者执行任意代码。该漏洞还可能导致任意文件系统读取和内存泄漏。
根据Binding Operational Directive (BOD) 22-01:降低已知被利用漏洞的重大风险,FCEB机构必须在截止日期前解决已识别的漏洞,以保护其网络免受利用目录中缺陷的攻击。
专家还建议私人组织审查目录并解决其基础设施中的漏洞。
CISA命令联邦机构在2023年4月5日之前修复此缺陷。
美国机构还将以下漏洞添加到必须在 2023 年 4 月 4 日之前解决的目录中。
- CVE-2023-23397–Microsoft Office Outlook权限提升漏洞。
- CVE-2023-24880–Microsoft Windows SmartScreen安全功能绕过漏洞。
- CVE-2022-41328–Fortinet FortiOS 路径遍历漏洞。