Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
18/01/2013
Vulnerabilidades detectadas en ColdFusion
Se han detectado un total de cuatro vulnerabilidades en las versiones actuales de ColdFusion que están siendo activamente aprovechadas por atacantes para comprometer estos servicios.Las versiones de ColdFusion 9.0, 9.0.1, 9.0.2, y 10 tienen cuatro vulnerabilidades que podrían permitir a atacantes remotos ejecutar código arbitrario a través de vectores de ataque no especificados, pudiendo potencialmente ganar el control del servidor afectado.
Dos de las vulnerabilidades permiten la evasión de controles de autenticación. Otra permite el acceso no autorizado a directorios restringidos. La última de ellas permite la revelación de información sensible.
Se han detectado ataques que aprovechan esta vulnerabilidad en enero de 2013.
Sistemas Afectados:ColdFusion 10, 9.0.2, 9.0.1 y 9.0 para Windows, Macintosh y UNIX.
Referencias:CVE-2013-0625, CVE-2013-0629, CVE-2013-0631, CVE-2013-0632
Solución:Adobe recomienda a los usuarios de ColdFusion actualizar sus instalaciones siguiendo las instrucciones técnicas publicadas en su portal.
Para usuarios de versiones anteriores no soportadas se han publicado unas indicaciones para mitigar estas vulnerabilidades en el aviso de seguridad APSA13-01.
Notas: