Adobe แพตช์เร่งด่วนอุดช่องโหว่ Zero-day ที่คาดว่าถูกใช้จริงแล้ว

Adobe ได้ออกแพตช์ฉุกเฉินก่อนกำหนดอัปเดตจริงของเดือนมีนาคมเพื่ออุดช่องโหว่ Zero-day ที่คาดว่าถูกใช้งานจริงแล้ว โดยมีหมายเลขอ้างอิง CVE-2019-7816 ที่เกิดกับผลิตภัณฑ์ ColdFusion หรือแพลตฟอร์มที่ใช้พัฒนาเว็บแอปพลิเคชันของตน ดังนั้นแนะนำผู้ใช้รีบอัปเดต

ทาง Adobe ได่กล่าวถึงช่องโหว่ CVE-2019-7816 หรือช่องโหว่ ‘File upload security bypass’ ผ่านบล็อกว่า “การโจมตีต้องอาศัยความสามารถในการอัปโหลดโค้ดไปยังไดเรกทอรี่ของเว็บที่เข้าถึงได้ จากนั้นจึงลอบรันโค้ดได้ผ่านทาง HTTP Request ซึ่งการจำกัดการ Request กับไดเรกทอรี่ที่ให้อัปโหลดไฟล์สามารถบรรเทาปัญหาได้” 

สำหรับแพตช์คือ ColdFusion 11 Update 18, ColdFusion 2016 Update10 และ ColdFusion 2018 Update 3 โดยผู้ที่ได้เครดิตในการค้นพบคือ Charlie Arehart, Moshe Ruzin, Josh Ford, Jason Solarek และทีม Bridge Catalog ซึ่งเป็นนักพัฒนาของ ColdFusion เอง อย่างไรก็ตาม Adobe ไม่ได้ให้รายละเอียดของการถูกนำไปใช้จริง

ที่มา : https://www.zdnet.com/article/adobe-releases-out-of-band-update-to-patch-coldfusion-zero-day/ และ https://www.securityweek.com/adobe-patches-coldfusion-vulnerability-exploited-wild


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Alcatel-Lucent Enterprise เปิดตัว Access Point ใหม่ รองรับ Wi-Fi 6E

Alcatel-Lucent Enterprise เปิดตัว OmniAccess® Stellar 14xx series Access Point ใหม่ รองรับ Wi-Fi 6E

Google เตรียมปิดตัว Hangouts ปลายปีนี้

Google เตรียมปิดตัว Hangouts ปลายปีนี้ ให้ผู้ใช้งานย้ายไปใช้ Google Chat