Security Affairs 网站披露，Adobe 公司警告客户 ColdFusion 中存在一个严重的预身份验证远程代码执行漏洞，该漏洞被追踪为 CVE-2023-29300（CVSS 评分 9.8），目前可能正在被网络威胁攻击者大肆利用。

Adobe 公司在其向客户发送的一份声明中表示，CVE-2023-29300 漏洞问题由 CrowdStrike 的安全研究员 Nicolas Zilio发现的不可信数据的反序列化， Adobe 已经发现 CVE-2023-29300 在针对 Adobe ColdFusion 的非常有限攻击中被攻击者野外利用。

未经认证的访问者可以利用该漏洞在易受攻击的Coldfusion 2018、2021 和 2023 服务器上远程执行命令。 目前，Adobe 没有透露关于 CVE-2023-29300 更多的技术细节，也没有透露威胁攻击者在野外利用它的方式。

值得一提的是，Adobe 在 ColdFusion 中总共解决了三个漏洞，以下是已修复问题的完整列表：

2023 年 3 月，美国网络安全和基础设施安全局（CISA）将 Adobe ColdFusion中关键漏洞 CVE-2023-26360（CVSS评分：8.6）添加到其已知被利用漏洞目录中。

CVE-2023-26360 漏洞属于不当访问控制，可允许远程攻击者执行任意代码，该漏洞还可能导致任意文件系统读取和内存泄漏。

---

转自Freebuf，原文链接：https://www.freebuf.com/news/372341.html

封面来源于网络，如有侵权请联系删除