بهروزرسانیهای منتشر شده توسط ادوبی (Adobe) در روز سهشنبه برای پلتفرم توسعه برنامه وب ColdFusion، سه آسیبپذیری را شامل شده و دو مورد از آنها به عنوان “بحرانی” طبقه بندی شدهاند.
بهروزرسانیهای ColdFusion 2016 Update 12 و ColdFusion 2018 Update 5 آسیبپذیریهای مهمی را که میتوانند برای دور زدن کنترلهای دسترسی (CVE-2019-8074) مورد سوءاستفاده قرار بگیرد، رفع کرده و یک نقص مربوط به فرمان بحرانی را که میتواند برای اجرای کد دلخواه اعمال شود اصلاح نموده است (CVE-2019- 8073).
آخرین حفره امنیتی، که توسط ادوبی به عنوان یک گذرگاه امنیتی توصیف شده و میتواند منجر به افشای اطلاعات شود، با درجه اهمیت “بسیار مهم” در نظر گرفته شده است.
محققان موسسات Foundeo، گروه Knownsec 404 و امنیت اطلاعات Aura برای گزارش این آسیبپذیریها توسط ادوبی، معتبر شناخته شدهاند.
ادوبی مدعی است که از هیچ یک از حملات سوءاستفاده از این نقاط ضعف آگاه نبوده و به اعتقاد این شرکت بعید است به زودی مورد سوءاستفاده قرار بگیرند. با این حال، کاربران نباید با توجه به شناخته شدن عوامل تهدید برای سوءاستفاده از آسیبپذیریهای ColdFusion در حملاتشان، از بهروزرسانیها چشم پوشی کنند. حداقل دو نقص ColdFusion طی یک سال گذشته در حوزههای مستعد، مورد بهره برداری قرار گرفته است.
بهروزرسانیهای اصلاحی منتشر شده در روز سه شنبه توسط ادوبی، به دو آسیبپذیری اجرای کد دلخواه در Flash Player و مسئله ربودن DLL در مدیریت برنامه اشاره دارد.