Adobe แพตช์เร่งด่วนอุดช่องโหว่ Zero-day ที่คาดว่าถูกใช้จริงแล้ว

Adobe ได้ออกแพตช์ฉุกเฉินก่อนกำหนดอัปเดตจริงของเดือนมีนาคมเพื่ออุดช่องโหว่ Zero-day ที่คาดว่าถูกใช้งานจริงแล้ว โดยมีหมายเลขอ้างอิง CVE-2019-7816 ที่เกิดกับผลิตภัณฑ์ ColdFusion หรือแพลตฟอร์มที่ใช้พัฒนาเว็บแอปพลิเคชันของตน ดังนั้นแนะนำผู้ใช้รีบอัปเดต

ทาง Adobe ได่กล่าวถึงช่องโหว่ CVE-2019-7816 หรือช่องโหว่ ‘File upload security bypass’ ผ่านบล็อกว่า “การโจมตีต้องอาศัยความสามารถในการอัปโหลดโค้ดไปยังไดเรกทอรี่ของเว็บที่เข้าถึงได้ จากนั้นจึงลอบรันโค้ดได้ผ่านทาง HTTP Request ซึ่งการจำกัดการ Request กับไดเรกทอรี่ที่ให้อัปโหลดไฟล์สามารถบรรเทาปัญหาได้” 

สำหรับแพตช์คือ ColdFusion 11 Update 18, ColdFusion 2016 Update10 และ ColdFusion 2018 Update 3 โดยผู้ที่ได้เครดิตในการค้นพบคือ Charlie Arehart, Moshe Ruzin, Josh Ford, Jason Solarek และทีม Bridge Catalog ซึ่งเป็นนักพัฒนาของ ColdFusion เอง อย่างไรก็ตาม Adobe ไม่ได้ให้รายละเอียดของการถูกนำไปใช้จริง

ที่มา : https://www.zdnet.com/article/adobe-releases-out-of-band-update-to-patch-coldfusion-zero-day/ และ https://www.securityweek.com/adobe-patches-coldfusion-vulnerability-exploited-wild

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้