Adobe déploie de nouveaux correctifs pour la vulnérabilité ColdFusion activement exploitée

La faille critique, répertoriée sous le nom de CVE-2023-38205 (score CVSS : 7,5), a été décrite comme un cas de contrôle d’accès inapproprié qui pourrait entraîner un contournement de la sécurité. Elle affecte les versions suivantes :

« Adobe est conscient que CVE-2023-38205 a été exploité dans la nature dans des attaques limitées ciblant Adobe ColdFusion », a déclaré la société.

La mise à jour corrige également deux autres failles, dont un bogue de désérialisation critique (CVE-2023-38204, CVSS score : 9.8) qui pourrait conduire à l’exécution de code à distance et une seconde faille de contrôle d’accès inapproprié qui pourrait également ouvrir la voie à un contournement de sécurité (CVE-2023-38206, CVSS score : 5.3).

Cette révélation intervient quelques jours après que Rapid7 a averti que le correctif mis en place pour la CVE-2023-29298 était incomplet et qu’il pouvait être trivialement contourné par des acteurs malveillants. L’entreprise de cybersécurité a confirmé que le nouveau correctif comblait entièrement la faille de sécurité.

La CVE-2023-29298, une vulnérabilité de contournement du contrôle d’accès, a été utilisée dans des attaques réelles en l’associant à une autre faille soupçonnée d’être la CVE-2023-38203 pour déposer des shells web sur des systèmes compromis afin d’obtenir un accès par une porte dérobée.

Il est vivement recommandé aux utilisateurs d’Adobe ColdFusion de mettre à jour leurs installations avec la version la plus récente afin d’atténuer les menaces potentielles.