Adobe ColdFusion 安全更新警示

重点信息

Adobe已发布重要的安全更新，以解决影响其ColdFusion网页开发产品的严重零日漏洞。利用这些漏洞，攻击者可以远程控制受影响的系统。强烈建议用户和管理员尽快应用最新的安全更新。

根据网络安全和基础设施安全局CISA周二发布的警报，Adobe已发布安全更新，以解决一些ColdFusion网页开发产品中存在的关键零日漏洞。CISA指出，攻击者可以利用这些漏洞远程控制受影响的系统。

截至7月18日，CISA鼓励用户和管理员查看Adobe的安全发布APSB2341并及时应用必要的更新。以下Adobe产品的版本受到了此漏洞的影响：

产品版本受影响的更新ColdFusion 2018更新17及更早版本ColdFusion 2021更新7及更早版本ColdFusion 2023更新1及更早版本

Netenrich的首席威胁猎手John Bambenek指出，Adobe在过去一周迅速发布了两份通告，分别是针对CVE202329298的2340和针对CVE202338203的2341。

“遗憾的是，由于多家公司的信息存在冲突，情况变得有些复杂，”Bambenek表示。“不过，ColdFusion的最新更新将涵盖所有已公开的漏洞，并应以紧急方式进行应用。”

这种看法得到了Rapid7研究人员在7月17日的一篇博客的确认，他们指出Adobe在7月11日发布的针对CVE202329298的修复并不完整，并且经过简单修改的攻击仍然可以针对7月14日发布的ColdFusion最新版本进行。

Rapid7研究人员通知Adobe其补丁不完整。尽管目前对CVE202329298没有缓解措施，研究人员表示，更新至修复了CVE202338203的最新ColdFusion版本仍能防止其团队观察到的攻击行为。

Tanium的首席安全顾问Timothy Morris也确认了Bambenek的观点，认为APSB2341将覆盖APSB2340，并涵盖以下多项漏洞：CVE202329298 CVE202329300 CVE202329301和CVE202338203。