[資安漏洞發佈通知] 發布時間:2023/03/17
因應資安廠商發佈「Adobe ColdFusion嚴重零時差漏洞修補」說明與建議,請注意以下事項:
⚫ 漏洞編號
CVE-2023-26359 (CVSS 9.8)
CVE-2023-26360 (CVSS 8.6)
⚫ 警訊說明
CVE-2023-26359存在不可信資料的反序列化漏洞,CVE-2023-26360為不當存取控制所導致,二者皆可造成執行任意程式碼 。
⚫ 影響範圍
Adobe ColdFusion 2018 update 15及其之前的版本
Adobe ColdFusion 2021 update 5及其之前的版本
⚫ 建議措施
請升級至 Adobe ColdFusion 2018 update 16
請升級至 Adobe ColdFusion 2021 update 6
Adobe建議將 ColdFusion JDK/JRE更新到 JDK 11的 LTS版本的最新版本。
另外建議實施 ColdFusion安全頁面的安全設定,並查看相應的Lockdown Guide。。
詳細資訊請參閱官方網址:
https://helpx.adobe.com/security/products/coldfusion/apsb23-25.html