ColdFusion یک محیط توسعه ( IDE ) مبتنی بر Eclipse است که برنامهنویسان را قادر میسازد پروسه کامل طراحی Web Applicationها را از مفهوم تا پیادهسازی مدیریت نمایند. به تازگی آسیبپذیری با شدت بالا (8.2) و شناسهی CVE-2024-20767 در این نرمافزار کشف شده است که این آسیبپذیری از نوع کنترل دسترسی نامناسب (Improper Access Control) میباشد و ممکن است منجر به خواندن هر فایل دلخواه سیستمی شود. مهاجم ممکن است از این آسیبپذیری بهرهبرداری کند تا از تدابیر امنیتی عبور کرده و دسترسی غیرمجاز به فایلهای حساس را بدست آورده و بتواند در فایلهای سیستمی، عملیات خواندن و نوشتن دلخواهش را انجام دهد.
بر اساس بردار حمله این آسیبپذیری (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N) بهرهبرداری از آن از شبکه خارجی امکانپذیر نیست. مهاجم باید از راه دور (از طریق پروتکلی مانند SSH یا RDP) به سیستم دسترسی داشته باشد، یا نیاز به استفاده از مهندسی اجتماعی یا تکنیکهای دیگر جهت فریب کاربر ناآگاه برای کمک به شروع بهرهبرداری دارد. (AV:N)، بهرهبرداری از آن نیازمند هیچ پیشزمینهای نبوده و بهراحتی قابل تکرار است و چندان به شرایط خاصی نیاز نیست (AC:L) ، برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N)، به تعامل با کاربر نیز نیاز ندارد (UI:N)، بهرهبرداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر میگذارد (S:U) و یک ضلع از سه ضلع امنیت با شدت بالایی تحت تأثیر قرار میگیرد.
محصولات تحت تأثیر
نسخههای 2023.06 و 2021.12 و نسخههای قدیمیتر نرمافزار ColdFusion تحت تأثیر این آسیبپذیری قرار دارند.
توصیههای امنیتی
ضروری است کلیه کاربران، هرچه سریعتر نرمافزار ColdFusion خود را به جدیدترین نسخه ارتقاء دهند.
منبع خبر:
https://helpx.adobe.com/security/products/coldfusion/apsb24-14.html
- 39