Adobe, ColdFusion’daki Kritik Güvenlik Açığı için Acil Yama Yayınladı
Adobe, ColdFusion yazılımında tespit edilen ve kritik seviyede değerlendirilen bir güvenlik açığına karşı kullanıcılarını uyardı. CVE-2024-53961 olarak izlenen bu açık, saldırganların savunmasız sunucularda keyfi dosya okumasına olanak tanıyabilir. Şirket, bu açık için Proof-of-Concept (PoC) kodunun bulunduğunu ve riskin yüksek olduğunu belirtti.
Bu güvenlik açığı, Adobe ColdFusion 2023 ve 2021 sürümlerindeki dizin geçiş (path traversal) zafiyetinden kaynaklanıyor. Adobe, yöneticilere acil olarak yayınlanan güvenlik güncellemelerini (ColdFusion 2021 Güncelleme 18 ve ColdFusion 2023 Güncelleme 12) en geç 72 saat içinde yüklemelerini tavsiye ediyor. Ayrıca, yazılımın güvenlik yapılandırma ayarlarının ColdFusion 2023 ve 2021 kilitleme kılavuzlarına göre yapılması gerektiğini belirtiyor.
Şirket, bu açığın şu ana kadar aktif saldırılarda kullanılıp kullanılmadığını açıklamasa da kullanıcıların güvende kalması için güncellemeleri hemen uygulamalarını öneriyor. Adobe ayrıca, güvensiz Wddx serileştirme saldırılarını engellemek için güncellenmiş seri filtreleme belgelerini incelemeleri gerektiğini belirtiyor.
Path traversal zafiyetleri, genellikle hassas verilere erişmek ve sistemlere sızmak için kullanılıyor. Siber güvenlik uzmanları bu tür güvenlik açıklarının yıllardır “ileri seviye tehdit” olarak değerlendirildiğini ancak hala yaygın şekilde karşılaşıldığını vurguluyor.