Adobe heeft vanavond een noodpatch uitgebracht voor een actief aangevallen zerodaylek in ColdFusion. Op 11 en 14 juli kwam het softwarebedrijf ook al met beveiligingsupdates. voor de software Volgens Adobe wordt van de nieuwste kwetsbaarheid, aangeduid als CVE-2023-38205, op beperkte schaal misbruik gemaakt. Via het beveiligingslek kan een aanvaller willekeurige code uitvoeren. De impact van het kritieke beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.

Daarnaast zijn vanavond ook nog twee andere kwetsbaarheden verholpen, in beide gevallen een "security feature bypass", waarvan er één als kritiek is aangemerkt. Op 11 juli verhielp Adobe tijdens de patchronde van juli ook drie kwetsbaarheden in ColdFusion, waaronder één arbitrary code execution en twee security feature bypasses, net als nu het geval is.

Vervolgens kwam Adobe op 14 juli met een noodpatch voor een kritieke kwetsbaarheid waardoor een aanvaller ook willekeurige code op ColdFusion-servers kan uitvoeren en waarschuwde dat er al proof-of-concept exploitcode op internet was verschenen. In het geval van CVE-2023-38205 wordt er al misbruik van het beveiligingslek gemaakt. Adobe roept organisaties dan ook op om de patches voor ColdFusion 2018, 2021 en 2023 zo snel mogelijk te installeren, waarbij als voorbeeld binnen 72 uur wordt gegeven. Details over de aanvallen zijn niet gegeven.

ColdFusion is een platform voor het ontwikkelen van webapplicaties. In het verleden zijn kwetsbaarheden in ColdFusion vaker gebruikt voor aanvallen op ColdFusion-applicatieservers. Begin dit jaar waarschuwde Adobe nog voor een ander actief misbruikt zerodaylek in de software.