CVE-2024-53961

Nome do software vulnerável e versões afetadas:

Versões 2023.11, 2021.17 e anteriores do ColdFusion

Descrição:

O problema está relacionado a uma limitação inadequada do nome do caminho para um diretório restrito, também conhecida como vulnerabilidade de traversal de caminho. Isso poderia permitir que um invasor acessasse arquivos ou diretórios fora do diretório restrito definido pelo aplicativo, levando potencialmente à divulgação de informações confidenciais ou à manipulação de dados do sistema. Estima-se que mais de 8,5 milhões de serviços estejam potencialmente afetados. Um código de exploração de prova de conceito está disponível, e especialistas alertam para possíveis ataques.

Recomendações:

Para as versões 2023.11, 2021.17 e anteriores do ColdFusion: aplique as atualizações de segurança fora de banda lançadas pela Adobe para corrigir a vulnerabilidade crítica de traversal de caminho. Como solução temporária, considere restringir o acesso a arquivos e diretórios confidenciais até que o patch seja aplicado.