Дата публикации:
Общие сведения
CVE-2023-29300 – уязвимость, которая возникает в процессе десериализации пакета WDDX в Adobe ColdFusion 2021. Её реализация связана с небезопасным использованием Java Reflection API, что при определенных условиях позволяет вызывать определенные методы, в которые можно передать аргументы и тем самым выполнить произвольный код. Для обхода блокировки ColdFusion и доступа к конечной точке СFC могут использоваться другие уязвимости (например, CVE-2023-29298), тем самым позволяя удаленно выполнить код даже на заблокированном экземпляре.
Рейтинг
В соответствии с CVSSv3.1 уязвимости присвоен рейтинг: 9.8
Уязвимые версии и продукты:
- Adobe ColdFusion 2018 (Update 16 and earlier versions);
- Adobe ColdFusion 2021 (Update 6 and earlier versions);
- Adobe ColdFusion 2023 (GA Release).
Рекомендации:
1) обновить ColdFusion JDK до последней версии LTS-релизов для JDK 17, где это применимо. Подробная информация по обновлению расположена по ссылке в разделе ColdFusion JDK Requirement;
2) загрузить и установить ColdFusion (2023 release) Update 1 (дата релиза - 11 июля, 2023), в котором устранены упомянутые уязвимости. Подробная информация по обновлению расположена по ссылке. Применение обновления ColdFusion без соответствующего обновления JDK НЕ обеспечит безопасность сервера;
3) проверить актуальность подписки на модуль Security updates;
4) в случае использования собственного профиля защиты добавить в блокирующее правило IDPS сигнатуры «Adobe ColdFusion RCE».
За дополнительной информацией вы можете обратиться к специалистам Центра мониторинга и реагирования UserGate на адрес электронной почты: mrc@usergate.com.
