Adobe hat eine schwerwiegende Sicherheitslücke in zwei Versionen von ColdFusion behoben, einer Plattform für die schnelle Entwicklung von Webanwendungen, APIs und Software. Die Schwachstelle, bekannt als CVE-2024-53961, wird als Pfadtraversierungslücke beschrieben und betrifft die ColdFusion-Versionen 2021 und 2023. Sie erhielt einen Schweregrad von 7,4 (hoch) und kann laut CWE dazu verwendet werden, kritische Dateien zu erstellen oder zu überschreiben, die zum Ausführen von Code wie Programmen oder Bibliotheken verwendet werden.

Es wird gewarnt, dass ein Angreifer diese Sicherheitslücke ausnutzen könnte, um auf Dateien oder Verzeichnisse außerhalb des vom Programm festgelegten eingeschränkten Verzeichnisses zuzugreifen. Dies könnte zur Offenlegung sensibler Informationen oder zur Manipulation von Systemdaten führen. Es gibt bereits einen Proof-of-Concept-Exploit-Code für diese Schwachstelle.

Adobe hat Nutzer dazu aufgefordert, die bereitgestellten Patches sofort anzuwenden, vorzugsweise binnen 72 Stunden. Obwohl ein Proof-of-Concept verfügbar ist, ist nicht bekannt, ob die Schwachstelle tatsächlich bereits ausgenutzt wird. Die US Cybersecurity and Infrastructure Security Agency (CISA) hat sie noch nicht in ihr Katalog bekannt ausgenutzter Schwachstellen aufgenommen. Dies könnte darauf hindeuten, dass bisher keine Hinweise auf eine tatsächliche Ausnutzung vorliegen. Dennoch wissen Cyberkriminelle, dass viele Organisationen nicht besonders gewissenhaft beim Patchen sind und stattdessen bekannte Schwachstellen anvisieren. Mit einem bereits verfügbaren Proof-of-Concept könnte ein Angriff daher relativ einfach sein.