「Adobe ColdFusion」のアップデートを呼びかけ - 米当局

現地時間11月14日に公開されたアドバイザリで示された「クリティカル（Critical）」とされる脆弱性を見ると、信頼できないデータをデシリアライズする「CVE-2023-44351」「CVE-2023-44350」を修正している。

悪用されると任意のコードを実行されるおそれがあり、共通脆弱性評価システム「CVSSv3.1」のベーススコアはそれぞれ「9.8」「9.1」と評価されている。「Wddxプロトコル」におけるデシリアライズの問題に関しては、現地時間11月15日に追加情報も公開されている。

「CVE-2023-26347」は、アクセス制御の不備によりセキュリティ機能をバイパスされる脆弱性。CVSS基本値は「7.5」とやや低いが、同じく「クリティカル（Critical）」とレーティングされている。

またAdobeでは対応する「JDK」に更新していなければ、今回のセキュリティアップデートを適用してもサーバが保護されないと説明している。CISAもAdobeの推奨事項に従い、ウェブアプリケーションファイアウォール（WAF）の活用なども検討するよう求めている。

（Security NEXT - 2023/11/24 ） ツイート

PR

関連記事

「Cisco IOS/IOS XE」に脆弱性 - すでに悪用やPoC公開も
Cisco製FWやOSにクリティカル脆弱性 - すでに攻撃試行も
学生個人情報をスケジュール管理ソフトで教員間に誤共有 - 中京大
タイ子会社でサーバや端末がランサム被害 - ダイヤHD
区民センターのコンサート案内メールで誤送信 - 港区
業務用USBメモリが所在不明、患者情報含む可能性 - 虎の門病院
米子会社がランサム被害、影響など詳細を調査 - 天龍製鋸
「Cisco ASA」狙うゼロデイ攻撃、5月に複数政府機関で確認
偽「国勢調査」に注意 - 罰則で不安煽り、記念品で関心引く
Fortraのファイル転送ソフト「GoAnywhere MFT」に深刻な脆弱性