U.S. CISA adds Adobe ColdFusion and Oracle Agile PLM flaws to its Known Exploited Vulnerabilities catalog
U.S. CISA adds Adobe ColdFusion and Oracle Agile PLM flaws to its Known Exploited Vulnerabilities catalog.
securityaffairs.com
- 주요 취약점
- CVE-2017-3066 (Adobe ColdFusion 직렬화 취약점)
- CVSS 점수: 9.8 (치명적)
- 영향받는 버전:
- ColdFusion 2016 Update 3 및 이전
- ColdFusion 11 Update 11 및 이전
- ColdFusion 10 Update 22 및 이전
- 취약점 설명:
- Apache BlazeDS 라이브러리의 Java 직렬화 취약점
- 공격자는 이를 통해 임의 코드 실행을 수행 가능
- CVE-2024-20953 (Oracle Agile PLM 직렬화 취약점)
- CVSS 점수: 8.8 (중대)
- 영향받는 제품:
- Oracle Agile Product Lifecycle Management (PLM) 9.3.6
- Oracle Supply Chain (Export 컴포넌트)
- 취약점 설명:
- HTTP 네트워크 접근 권한이 낮은 공격자가 시스템을 탈취할 수 있음
- Oracle Agile PLM을 완전히 장악 가능
- CVE-2017-3066 (Adobe ColdFusion 직렬화 취약점)
- 추가 취약점
- CVE-2025-24989 (Microsoft Power Pages 권한 상승 취약점)
- CVSS 점수: 8.2 (중대)
- 취약점 설명:
- 잘못된 접근 제어 문제
- 권한 없는 공격자가 네트워크를 통해 권한을 상승할 수 있음
- 사용자 등록 제어를 우회 가능
- CVE-2025-24989 (Microsoft Power Pages 권한 상승 취약점)
- 관련 지침 및 조치
- CISA의 Binding Operational Directive (BOD) 22-01:
- 이미 알려진 취약점(Known Exploited Vulnerabilities, KEV)을 통해 공격 위험을 줄이기 위한 지침
- FCEB(Federal Civilian Executive Branch) 기관은 2025년 3월 24일까지 해당 취약점을 해결해야 함
- 민간 기업에게도 KEV 카탈로그 검토 및 시스템 내 취약점 해결을 권장
- CISA의 Binding Operational Directive (BOD) 22-01:
- 결론
- 공공기관 및 민간기업 모두 시스템 내 취약점 패치가 시급함
- KEV 카탈로그를 정기적으로 확인하고, 패치 관리 체계를 강화해야 함
- Java 및 Oracle 제품군 사용 시 직렬화 취약점에 특히 주의 필요
- 네트워크 접근 제어 강화 및 HTTP 트래픽 모니터링 권장
'Kant's IT > Vulnerability' 카테고리의 다른 글
| MITRE Caldera에서 발견된 치명적 원격 코드 실행(RCE) 취약점(CVE-2025-27364) (0) | 2025.03.08 |
|---|---|
| Cisco Small Business 라우터 RCE 취약점 악용 및 웹쉘 배포 공격 (0) | 2025.03.08 |
| 삼성 갤럭시 '보안 폴더' 기능의 보안 취약점 분석 (0) | 2025.03.08 |
| Sliver C2 서버 취약점, TCP 하이재킹을 통한 트래픽 가로채기 가능 (0) | 2025.03.06 |
| Parallels Desktop 0-Day 취약점, 루트 권한 상승 가능 (CVE-2024-34331) (0) | 2025.03.06 |