Adobe внепланово исправила критические уязвимости в ColdFusion

Компания Adobe выпустила внеплановое обновление безопасности, которое исправляет одну опасную и две критические уязвимости в платформе ColdFusion. Эксплуатация критических уязвимостей позволяет злоумышленнику выполнить произвольный код или обойти управление доступом на уязвимых системах.

ColdFusion представляет собой коммерческую платформу для быстрой разработки web-приложений и сайтов. Уязвимости затрагивают ColdFusion версии 2016 и 2018 года.

Одной из критических проблем является уязвимость (CVE-2019-8073) типа command injection (внедрение команд), возникающая из-за «уязвимого компонента». Ее эксплуатация позволяет выполнить произвольный код. Вторая уязвимость (CVE-2019-8074) относится к типу path traversal (обход каталога) и позволяет злоумышленнику обойти управление доступом. Также была обнаружена опасная уязвимость (CVE-2019-8072) обхода безопасности, которая позволяет раскрыть информацию.

Проблемы затрагивают ColdFusion 2018 года версии Update 4 (и младше), а также ColdFusion 2016 года версии Update 11 (и младше). Пользователям рекомендуется обновить ColdFusion 2018 до версии Update 5 и ColdFusion 2016 до версии Update 12.

Напомним, что недавно компания Microsoft также выпустила экстренные внеплановые обновления, исправляющие две уязвимости, в том числе уязвимость нулевого дня, которая уже была проэксплуатирована во вредоносных кампаниях.

Источник: Securitylab