La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajouté le 15 mars une vulnérabilité de sécurité affectant Adobe ColdFusion à son catalogue de vulnérabilités exploitées connues (KEV), sur la base de preuves d’exploitation active.
La faille critique en question est CVE-2023-26360 (score CVSS : 8,6), qui pourrait être exploitée par un acteur malveillant pour obtenir l’exécution de code arbitraire.
« Adobe ColdFusion contient une vulnérabilité de contrôle d’accès inapproprié qui permet l’exécution de code à distance », a déclaré CISA .
La vulnérabilité affecte ColdFusion 2018 (mise à jour 15 et versions antérieures) et ColdFusion 2021 (mise à jour 5 et versions antérieures). Il a été résolu dans les versions Update 16 et Update 6, respectivement, publiées le 14 mars 2023.
Il convient de noter que CVE-2023-26360 affecte également les installations ColdFusion 2016 et ColdFusion 11, qui ne sont plus prises en charge par l’éditeur de logiciels car elles ont atteint leur fin de vie (EoL).
Bien que les détails exacts entourant la nature des attaques soient inconnus, Adobe a déclaré dans un avis qu’il était conscient que la faille était « exploitée à l’état sauvage dans des attaques très limitées ».
Les agences du Federal Civilian Executive Branch (FCEB) sont tenues d’appliquer les mises à jour d’ici le 5 avril 2023, afin de protéger leurs réseaux contre les menaces potentielles.
Charlie Arehart, un chercheur en sécurité crédité d’avoir découvert et signalé la faille aux côtés de Pete Freitag, l’ a décrite comme un problème « grave » qui pourrait entraîner une « exécution de code arbitraire » et une « lecture arbitraire du système de fichiers ».
