Adobe corregge una vulnerabilità critica legata alla deserializzazione, ma gli exploit persistono

CISA ha aggiunto una vulnerabilità, catalogata come CVE-2023-26359, al catalogo delle vulnerabilità sfruttate note con un punteggio CVSS di 9,8 a causa dello sfruttamento attivo.

La vulnerabilità è un difetto di deserializzazione che interessa Adobe ColdFusion 2018 (Aggiornamento 15 e versioni precedenti) e Adobe ColdFusion 2021 (Aggiornamento 5 e versioni precedenti) e può potenzialmente provocare l'esecuzione di codice arbitrario.

La serializzazione trasforma un oggetto in un formato dati che può eventualmente essere ripristinato in seguito, come con JSON e XML e i relativi dati serializzati. La deserializzazione è l'inverso di questo processo in cui i dati strutturati in un certo formato vengono ricostruiti in un oggetto. Quando la deserializzazione avviene senza convalidare un'origine attendibile, può portare alla negazione del servizio o all'esecuzione di codice.

Queste vulnerabilità, considerate critiche e importanti e che potrebbero portare a perdite di memoria, sono state corrette a marzo. Non è chiaro come venga sfruttata la falla, ma Adobe afferma che ciò si verifica solo "in attacchi molto limitati".

A causa di questo sfruttamento attivo, le agenzie del Federal Civilian Executive Branch (FCEB) hanno una scadenza dell’11 settembre per applicare queste patch e proteggersi da potenziali minacce.

Adobe consiglia ai clienti di applicare le impostazioni di configurazione della sicurezza "come delineato nella pagina Sicurezza di ColdFusion e di consultare le rispettive guide di blocco". Si consiglia inoltre di "aggiornare ColdFusion JDK/JRE all'ultima versione delle versioni LTS per JDK 11". Questo perché l'applicazione dell'aggiornamento ColdFusion senza un corrispondente aggiornamento JDK non consentirà un server sicuro.

Adobe attribuisce merito a Patrick Vares per aver segnalato i problemi relativi alla vulnerabilità CVE-2023-26359.