Adobe corrige une vulnérabilité critique de désérialisation, mais les exploits persistent

CISA a ajouté une vulnérabilité — cataloguée sous le numéro CVE-2023-26359 — au catalogue des vulnérabilités exploitées connues avec un score CVSS de 9,8 en raison d'une exploitation active.

La vulnérabilité est une faille de désérialisation affectant Adobe ColdFusion 2018 (mise à jour 15 et antérieure) et Adobe ColdFusion 2021 (mise à jour 5 et antérieure) et peut entraîner l'exécution de code arbitraire.

La sérialisation transforme un objet en un format de données qui peut éventuellement être restauré ultérieurement, comme avec JSON et XML et leurs données sérialisées. La désérialisation est l'inverse de ce processus où les données structurées dans un certain format sont reconstruites en un objet. Lorsque la désérialisation se produit sans validation d'une source fiable, elle peut conduire à un déni de service ou à l'exécution de code.

Ces vulnérabilités, considérées comme critiques et importantes, pouvant entraîner des fuites de mémoire, ont été corrigées en mars. On ne sait pas exactement comment la faille est exploitée dans la nature, mais Adobe déclare que cela ne se produit que « dans le cadre d'attaques très limitées ».

En raison de cette exploitation active, les agences du pouvoir exécutif civil fédéral (FCEB) ont jusqu'au 11 septembre pour appliquer ces correctifs et se protéger contre les menaces potentielles.

Adobe recommande aux clients d'appliquer les paramètres de configuration de sécurité « comme indiqué sur la page Sécurité de ColdFusion et de consulter les guides de verrouillage respectifs ». Il recommande également de « mettre à jour votre ColdFusion JDK/JRE vers la dernière version des versions LTS pour JDK 11 ». En effet, l'application de la mise à jour ColdFusion sans mise à jour correspondante du JDK ne permettra pas d'avoir un serveur sécurisé.

Adobe remercie Patrick Vares pour avoir signalé les problèmes liés à la vulnérabilité CVE-2023-26359.