Adobe patcht actief aangevallen beveiligingslek in ColdFusion

Adobe heeft een noodpatch uitgebracht voor een beveiligingslek in ColdFusion dat actief is gebruikt om systemen aan te vallen. ColdFusion is een platform voor het ontwikkelen van webapplicaties.

Via de kwetsbaarheid kan een aanvaller willekeurige code in de context van de ColdFusion-service uitvoeren. Het is op deze manier mogelijk om toegang tot websites en webservers te krijgen.

Om de aanval uit te kunnen voeren moet het mogelijk zijn om uitvoerbare code naar een webtoegankelijke directory te uploaden en die code via een http-verzoek uit te voeren. In het verleden is ColdFusion geregeld het doelwit van aanvallen geweest. Zo wisten aanvallers via ColdFusion-lekken in te breken bij de Franse autofabrikant Citroën, PR Newswire en een Amerikaanse rechtbank.

De kwetsbaarheid is verholpen in ColdFusion 2018 Update 3, ColdFusion 2016 Update 10 en ColdFusion 11 Update 18. Beheerders krijgen het advies om de beveiligingsupdate zo snel als mogelijk te installeren, waarbij Adobe een tijdsvenster van binnen 72 uur als voorbeeld geeft. Aanvallen kunnen ook worden voorkomen door toegang te beperken tot directories waar geüploade bestanden worden opgeslagen.

Op deze website gebruikt VM4 cookies en vergelijkbare technieken om de website goed te kunnen laten werken en om te analyseren hoe de website wordt gebruikt.