Adobe випустила позапланове оновлення безпеки, що виправляє критичні вразливості у платформі ColdFusion
Adobe випустила позапланове оновлення безпеки, що виправляє критичні вразливості у платформі ColdFusion
Adobe випустила позапланове оновлення безпеки, яке виправляє одну небезпечну та дві критичні вразливості у платформі ColdFusion. Експлуатація критичних уразливостей дозволяє зловмиснику виконати довільний код або обійти керування доступом на вразливих системах.
ColdFusion є комерційною платформою для швидкої розробки web-додатків і сайтів. Вразливості торкаються ColdFusion версії 2016 та 2018 року.
Однією з критичних проблем є вразливість (CVE-2019-8073) типу command injection (використання команд), що виникає через «вразливий компонент». Її експлуатація дозволяє виконати довільний код. Друга вразливість (CVE-2019-8074) відноситься до типу path traversal (обхід каталогу) та дозволяє зловмиснику обійти керування доступом. Також було виявлено небезпечну вразливість (CVE-2019-8072) обходу безпеки, що дозволяє розкрити інформацію.
Проблеми торкаються ColdFusion 2018 версії Update 4 (і молодше), а також ColdFusion 2016 версії Update 11 (і молодше). Користувачам рекомендується оновити ColdFusion 2018 до версії Update 5 та ColdFusion 2016 до версії Update 12.