Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
18/11/2015
El butlletí de ColdFusion (APSB15-29) soluciona, d’una banda, dos fallades en la validació d’entrada de paràmetres que podrien ser utilitzats per a realitzar atacs de Cross Site Scripting reflectit.
En aquest mateix butlletí també s’inclou una versió actualitzada de BlazeDS, que corregeix una fallada de tipus Server-Side Request Forgery que podria ser explotat enviant al servidor un fitxer XML malformat. Aquesta mateixa fallada també afecta l’aplicació LiveCycle Data Services, que té el seu propi butlletí (APSB15-30).
Finalment, Adobe ha publicat el butlletí APSB15-31 que informa d’una vulnerabilitat en l’aplicació Adobe Premier Clip per a dispositius mòbils iOS. En aquest cas es corregeix una fallada en la validació d’entrada en l’aplicació mòbil.
Sistemes Afectats:ColdFusion 11 Update 6 i anteriors per a qualsevol plataforma.
ColdFusion 10 Update 17 i anteriors per a qualsevol plataforma.
LiveCycle Data Services versions 4.7, 4.6.2, 4.5, 3.1.x, 3.0.x per a Windows, Macintosh i Unix.
Adobe Premiere Clip versió 1.1.1 i anteriors per a iOS.
CVE-2015-8051, CVE-2015-8052, CVE-2015-8053, CVE-2015-5255
Solució:Adobe recomana en tots els casos actualitzar les aplicacions a les últimes versions disponibles, seguint les instruccions següents:
Notes: