Adobe a annoncé des correctifs pour une vulnérabilité de gravité critique dans ColdFusion qui pourrait être exploitée pour obtenir une exécution de code arbitraire.

Répertoriée sous le nom de CVE-2023-38203 (score CVSS de 9,8), la faille est décrite comme une "désérialisation de données non fiables" dans les versions 2023, 2021 et 2018 de ColdFusion.

Cela permet généralement à un attaquant de fournir des données spécialement conçues et de déclencher l'exécution d'un code arbitraire, ce qui peut entraîner la compromission complète du système.

Selon Adobe, des informations sur la manière dont cette vulnérabilité peut être utilisée dans des attaques ont été publiées en ligne.

Adobe a annoncé que le problème avait été corrigé avec la publication de ColdFusion 2023 Update 1, ColdFusion 2021 Update 7, et ColdFusion 2018 Update 17.

Les correctifs pour CVE-2023-38203 ont été publiés quelques jours seulement après qu'Adobe a corrigé un autre bogue de ColdFusion de gravité critique CVE-2023-29300 (score CVSS de 9,8), lié à la "désérialisation de données non fiables".

Il est conseillé aux utilisateurs de ColdFusion d'installer les dernières mises à jour de sécurité dès que possible.