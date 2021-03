Adobe heeft vandaag een beveiligingsupdate uitgerold voor een kritieke kwetsbaarheid in ColdFusion waardoor een aanvaller op afstand code op kwetsbare systemen kan uitvoeren. ColdFusion is een platform voor het ontwikkelen van webapplicaties. In het verleden zijn kwetsbaarheden in ColdFusion gebruikt voor het aanvallen van ColdFusion-applicatieservers.

Afgelopen oktober kwam de NSA nog met een overzicht van de Top 25 kwetsbaarheden die volgens de Amerikaanse geheime dienst door "Chinese actoren" worden gebruikt om organisaties aan te vallen. In dat overzicht staat ook een ColdFusion-kwetsbaarheid uit 2018.

Het nu verholpen beveiligingslek, aangeduid als CVE-2021-21087, wordt veroorzaakt door het niet goed valideren van invoer. Verdere details worden niet door Adobe gegeven, behalve dat een aanvaller de kwetsbaarheid kan gebruiken om willekeurige code op het onderliggende systeem uit te voeren.

Organisaties wordt aangeraden om te updaten naar ColdFusion 2016 Update 17, ColdFusion 2018 Update 11 of ColdFusion 2021 Update 1. Volgens Adobe zijn erop dit moment geen exploits bekend die misbruik van het beveiligingslek maken en wordt dit ook niet op korte termijn verwacht. Als "best practice" adviseert Adobe om de update "snel" te installeren, waarbij als voorbeeld binnen dertig wordt genoemd.