Adobe ColdFusion中发现的新漏洞

Rapid7的安全研究人员发现Adobe ColdFusion(一个web开发计算平台)的多个漏洞被积极利用。

2023年7月11日，Adobe发布了几个影响ColdFusion的漏洞补丁，包括rapid7发现的访问控制绕过漏洞(CVE-2023-29298)和允许任意代码执行的不安全反序列化漏洞(CVE-2023-29300)。

然而，Rapid7最近观察到其中一些漏洞在几天后仍然被利用，并且一些补丁不完整。他们在7月17日的一份报告中发表了他们的研究。研究人员解释说，这个问题是由于两个反序列化漏洞之间的混淆。

7月11日针对不安全反序列化漏洞的补丁实现了一个类的拒绝列表，这些类不能被Web分布式数据交换(WDDX)数据反序列化，这些数据构成了对ColdFusion的某些请求的一部分。

然而，来自开源项目发现计划的研究人员发现了一个解决方案，使用一个不在Adobe否认列表中的类，可以用作反序列化小工具来实现远程代码执行。

他们首先发表了他们的发现，然后在7月12日迅速将其撤下。

Rapid7认为，“发现项目很可能认为他们发布的是针对CVE-2023-29300的n天漏洞，而实际上，发现项目详细描述的是一个新的零日漏洞链，CVE-2023-38203。“

Adobe发布了针对CVE-2023-38203的安全更新，但目前，CVE记录仍处于保留状态，这意味着该补丁仍在审查中。

此外，Rapid7观察到，威胁行为者似乎正在利用CVE-2023-29298和CVE-2023-38203，并且一个微小的修改漏洞仍然可以针对最新版本的ColdFusion(7月14日发布)，这意味着CVE-2023-29298的补丁是不完整的。

目前没有针对CVE-2023-29298的缓解措施，但Rapid7在野外观察到的漏洞链依赖于次要漏洞在目标系统上完全执行。因此，更新到最新版本的ColdFusion修复了CVE-2023-38203，应该仍然可以防止我们的MDR团队观察到的攻击者行为。