TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Adobe ได้ออกแพตช์ฉุกเฉินก่อนกำหนดอัปเดตจริงของเดือนมีนาคมเพื่ออุดช่องโหว่ Zero-day ที่คาดว่าถูกใช้งานจริงแล้ว โดยมีหมายเลขอ้างอิง CVE-2019-7816 ที่เกิดกับผลิตภัณฑ์ ColdFusion หรือแพลตฟอร์มที่ใช้พัฒนาเว็บแอปพลิเคชันของตน ดังนั้นแนะนำผู้ใช้รีบอัปเดต
ทาง Adobe ได่กล่าวถึงช่องโหว่ CVE-2019-7816 หรือช่องโหว่ ‘File upload security bypass’ ผ่านบล็อกว่า “การโจมตีต้องอาศัยความสามารถในการอัปโหลดโค้ดไปยังไดเรกทอรี่ของเว็บที่เข้าถึงได้ จากนั้นจึงลอบรันโค้ดได้ผ่านทาง HTTP Request ซึ่งการจำกัดการ Request กับไดเรกทอรี่ที่ให้อัปโหลดไฟล์สามารถบรรเทาปัญหาได้”
สำหรับแพตช์คือ ColdFusion 11 Update 18, ColdFusion 2016 Update10 และ ColdFusion 2018 Update 3 โดยผู้ที่ได้เครดิตในการค้นพบคือ Charlie Arehart, Moshe Ruzin, Josh Ford, Jason Solarek และทีม Bridge Catalog ซึ่งเป็นนักพัฒนาของ ColdFusion เอง อย่างไรก็ตาม Adobe ไม่ได้ให้รายละเอียดของการถูกนำไปใช้จริง
ที่มา : https://www.zdnet.com/article/adobe-releases-out-of-band-update-to-patch-coldfusion-zero-day/ และ https://www.securityweek.com/adobe-patches-coldfusion-vulnerability-exploited-wild
