Spoločnosť Adobe opravila kritickú zraniteľnosť produktu ColdFusion

Spoločnosť Adobe vydala neplánované bezpečnostné aktualizácie pre produkt ColdFusion verzie 2016, 2018 a 2021. Zraniteľnosť by útočník mohol zneužiť na vzdialené vykonanie ľubovoľného kódu.

Dôsledky

  • Únik citlivých informácií
  • Kompromitácia aplikácií

Opis činnosti
CVE-2021-21087

Zraniteľnosť sa nachádza v produkte Adobe ColdFusion, webovom programovacom jazyku poskytujúcom platformu pre budovanie a nasadzovanie webových a mobilných aplikácií. Zraniteľnosť je spôsobená nesprávnym overovaním vstupu zadávaného používateľom pri nahrávaní súborov. Vzdialený neoverený útočník by mohol do aplikácie odoslať špeciálne vytvorené dáta a vykonávať ľubovoľný kód (RCE).

Spoločnosť Adobe uvádza, že okrem aktualizácie samotného produktu ColdFusion je potrebné pre zabezpečenie systému inštalovať aj najnovšie aktualizácie Java Development Kit a Java Runtime Environment. Aktualizácie samotného Adobe ColdFusion nie je dostačujúca.

Zraniteľné systémy

ColdFusion:

2016, 2016 Update 1, 2016 Update 2, 2016 Update 3, 2016 Update 4, 2016 Update 5, 2016 Update 6, 2016 Update 7, 2016 Update 8, 2016 Update 9, 2016 Update 10, 2016 Update 11, 2016 Update 12, 2016 Update 13, 2016 Update 14, 2016 Update 15, 2016 Update 16, 2018 Update 1, 2018 Update 2, 2018 Update 3, 2018 Update 4, 2018 Update 5, 2018 Update 6, 2018 Update 7, 2018 Update 8, 2018 Update 9, 2018 Update 10, 2018.0.0.310739, 2021

JDK/JRE vydanie LTS pre verzie 1.8 a JDK verzie 11

Závažnosť zraniteľnosti
Vysoká

Možné škody
Vzdialené vykonávanie kódu
Únik citlivých informácií

Odporúčania
Odporúčame bezodkladnú aktualizáciu produktu Adobe ColdFusion spolu s JDK a JRE na najnovšie verzie.

Odkazy
https://threatpost.com/adobe-critical-coldfusion-flaw-update/164946/
https://www.bleepingcomputer.com/news/security/critical-code-execution-vulnerability-fixed-in-adobe-coldfusion/
https://nvd.nist.gov/vuln/detail/CVE-2018-15961
https://www.cybersecurity-help.cz/vdb/SB2021032222