Se ha lanzado un nuevo aviso de seguridad sobre múltiples vulnerabilidades, incluida una de día cero (0-day) que afectan a productos de Adobe, que permitirían a un atacante realizar ejecución arbitraria de código, obtener acceso a información del sistema de archivos, entre otros.
Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Crítica”, 49 (cuarenta y nueve) de severidad “Alta”, 26 (veintiséis) de severidad “Media” y 14 (catorce) de severidad “Baja”. Las principales se detallan a continuación:
- CVE-2023-26359 de severidad “Crítica”, con puntuación de 9.8. Esta vulnerabilidad se debe a una falla de seguridad del control de acceso de Adobe ColdFusion. Esto permitiría a un atacante remoto evadir la seguridad y obtener acceso no autorizado a funcionalidades restringidas del sistema afectado.
- CVE-2023-26360 de severidad “Alta”, con puntuación de 8.6. Esta vulnerabilidad de día cero (0-day) explotada limitadamente se debe a la falla de seguridad en el procesamiento de datos serializados de Adobe ColdFusion. Esto permitiría a un atacante remoto a través de un ataque de deserialización de datos no confiables realizar ejecución arbitraria de código, lectura arbitraria de archivos y provocar fuga de información de la memoria del sistema afectado.
- CVE-2023-26358 de severidad “Alta”, con puntuación de 8.6. Esta vulnerabilidad se debe a una falla de seguridad al cargar archivos DLL en Creative Cloud Desktop Application. Esto permitiría a un atacante remoto a través del envío de archivos DLL especialmente diseñados al servidor SMB y ejecutadas por la víctima, realizar ejecución arbitraria de código.
Se puede acceder al listado completo de las vulnerabilidades aquí.
Algunos productos afectados son:
- ColdFusion 2018, 2021, versión 15 y anteriores
- Creative Cloud Desktop Application, versión 5.9.1 y anteriores.
- Photoshop 2022, versión 23.5.3 y anteriores.
- Photoshop 2022, versión 24.1.1 y anteriores.
Se puede acceder al listado completo de los productos afectados aquí.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, acorde a la tecnología afectada indicada en el siguiente enlace:
Referencias:
- https://securityaffairs.com/143479/security/adobe-cold-fusion-exploited-bug.html
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-26359
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-26360
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-26358
- https://www.cybersecurity-help.cz/vdb/SB2023031457
- https://www.cybersecurity-help.cz/vdb/SB2023031482
- https://helpx.adobe.com/security/security-bulletin.html