In Adobes Application Server Coldfusion wurde ein kritisches Sicherheitsleck gefunden, das es einem potentiellen Angreifer ermöglicht, Code auszuführen. Wie
Adobe in einem
Security Bulletin verlauten lässt, ist man darüber informiert, dass die Schwachstelle mit der Kennung CVE-2023-26360 bereits für Angriffe auf Coldfusion-Systeme genutzt wird, wenn auch in einer begrenzten Zahl.
Die Schwachstelle findet sich in Coldfusion 2018 Update 15 und früher wie auch in Coldfusion 2021 Update 5 und früher. Ältere, nicht mehr unterstützte Version wie Coldfusion 2016 oder 2011 sollen ebenfalls vom Leck betroffen sein, doch gibt es da keine Updates mehr. Für die aktuellen Versionen hat Adobe aktualisierte Versionen bereitgestellt und empfiehlt, diese baldmöglichst einzuspielen.
Die US-Cybersecurity-Behörde
CISA hat mittlerweile US-amerikanische Bundesbehörden verpflichtend angewiesen, die Updates bis zum 5. April einzuspielen. Coldfusion findet im US-Behördenumfeld nach wie vor eine beachtliche Verbreitung, während die Adobe-Lösung im europäischen Raum in den letzten Jahren durch den Open-Source-Klon
Lucee verdrängt wurde.
(rd)