Adobe تحذر العملاء من خلل نقدي غير مرتبط في ColdFusion

حذرت Adobe مستخدمي نظام خادم تطبيقات ColdFusion من وجود ثغرة حرجة قد تعطي المستخدمين غير المصرح لهم حق الوصول إلى الملفات الحساسة المخزنة على خوادمهم.

تم تعريف الثغرة الأمنية على أنها CVE- 2013-3336 ويؤثر على ColdFusion 10 ، 9.0.2 ، 9.0.1 ، 9.0 والإصدارات السابقة لـ Windows و Mac و Unix ، قال Adobe في تقرير استشاري نُشر يوم الأربعاء.

أشادت الشركة بـ Marcin Siedlarz من فريق الاستجابة الأمنية لـ Symantec بـ الإبلاغ عن المشكلة. "هناك تقارير تفيد بأن استغلال هذه الثغرة متاح للجمهور" ، قال Adobe.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]

تعمل الشركة على إصلاح وتتوقع إصدارها علنًا في 14 أيار (مايو) ، يُنصح العملاء بتقييد وصول الجمهور إلى بعض الدلائل الحساسة مثل CFIDE / administrator و CFIDE / adminapi و CFIDE / getstarted

تتوفر معلومات حول كيفية تقييد الوصول إلى هذه الأدلة في ColdFusion 9 Lockdown دليل ودليل ColdFusion 10 Lockdown. إن العملاء الذين قاموا بتثبيت منشآت ColdFusion الخاصة بهم في أعقاب الإرشادات الواردة في هذه الوثائق الفنية محميون بالفعل ضد CVE-2013-3336 ، على حد قول Adobe.

على الرغم من أنه لا يستخدم على نطاق واسع مثل بعض منتجات Adobe الأخرى ، فقد تم استهداف ColdFusion من قبل المتسللين في الماضي. في أبريل ، ذكرت شركة استضافة الخادم الافتراضي الخاص Linode أن المتسللين تمكنوا من الوصول إلى خادم الويب وقاعدة بيانات العملاء من خلال استغلال ثغرة ColdFusion غير معروفة سابقًا.

في كانون الثاني / يناير ، أصدرت Adobe تحذيرًا أمنيًا يحذر العملاء من وجود أربع نقاط ضعف ColdFusion غير معروفة سابقًا يجري استغلالها بنشاط من قبل المهاجمين. وشملت خطوات التخفيف الموصى بها في ذلك الوقت أيضًا تعطيل الوصول الخارجي إلى أدلة / CFIDE / administrator و / CFIDE / adminapi.