Adobe выпустила внеплановое обновление безопасности, исправляющее критические уязвимости в платформе ColdFusion
Adobe выпустила внеплановое обновление безопасности, исправляющее критические уязвимости в платформе ColdFusion
Adobe выпустила внеплановое обновление безопасности, которое исправляет одну опасную и две критические уязвимости в платформе ColdFusion. Эксплуатация критических уязвимостей позволяет злоумышленнику выполнить произвольный код или обойти управление доступом на уязвимых системах.
ColdFusion представляет собой коммерческую платформу для быстрой разработки web-приложений и сайтов. Уязвимости затрагивают ColdFusion версии 2016 и 2018 года.
Одной из критических проблем является уязвимость (CVE-2019-8073) типа command injection (внедрение команд), возникающая из-за «уязвимого компонента». Ее эксплуатация позволяет выполнить произвольный код. Вторая уязвимость (CVE-2019-8074) относится к типу path traversal (обход каталога) и позволяет злоумышленнику обойти управление доступом. Также была обнаружена опасная уязвимость (CVE-2019-8072) обхода безопасности, которая позволяет раскрыть информацию.
Проблемы затрагивают ColdFusion 2018 года версии Update 4 (и младше), а также ColdFusion 2016 года версии Update 11 (и младше). Пользователям рекомендуется обновить ColdFusion 2018 до версии Update 5 и ColdFusion 2016 до версии Update 12.