Adobe parchea la vulnerabilidad crítica de deserialización, pero los exploits persisten

CISA ha agregado una vulnerabilidad, catalogada como CVE-2023-26359, al Catálogo de vulnerabilidades explotadas conocidas con una puntuación CVSS de 9,8 debido a la explotación activa.

La vulnerabilidad es una falla de deserialización que afecta a Adobe ColdFusion 2018 (Actualización 15 y anteriores) y Adobe ColdFusion 2021 (Actualización 5 y anteriores) y tiene el potencial de provocar la ejecución de código arbitrario.

La serialización convierte un objeto en un formato de datos que eventualmente puede restaurarse más adelante, como ocurre con JSON y XML y sus datos serializados. La deserialización es lo contrario de este proceso en el que los datos estructurados en algún formato se reconstruyen en un objeto. Cuando se produce la deserialización sin validar una fuente confiable, puede provocar una denegación de servicio o la ejecución de código.

Estas vulnerabilidades, que se consideran críticas e importantes y que podrían provocar pérdidas de memoria, se solucionaron en marzo. No está claro cómo se explota la falla en la naturaleza, pero Adobe afirma que esto sólo ocurre "en ataques muy limitados".

Debido a esta explotación activa, las agencias del Poder Ejecutivo Civil Federal (FCEB) tienen como fecha límite el 11 de septiembre para aplicar estos parches y protegerse contra amenazas potenciales.

Adobe recomienda que los clientes apliquen los ajustes de configuración de seguridad "como se describe en la página de seguridad de ColdFusion y revisen las respectivas guías de bloqueo". También recomienda "actualizar su ColdFusion JDK/JRE a la última versión de las versiones LTS para JDK 11". Esto se debe a que aplicar la actualización de ColdFusion sin la correspondiente actualización de JDK no permitirá un servidor seguro.

Adobe le da crédito a Patrick Vares por informar los problemas relacionados con la vulnerabilidad CVE-2023-26359.