Spoločnosť Adobe opravila kritickú zraniteľnosť produktu ColdFusion
Spoločnosť Adobe vydala neplánované bezpečnostné aktualizácie pre produkt ColdFusion verzie 2016, 2018 a 2021. Zraniteľnosť by útočník mohol zneužiť na vzdialené vykonanie ľubovoľného kódu.
Dôsledky
- Únik citlivých informácií
- Kompromitácia aplikácií
Opis činnosti
CVE-2021-21087
Zraniteľnosť sa nachádza v produkte Adobe ColdFusion, webovom programovacom jazyku poskytujúcom platformu pre budovanie a nasadzovanie webových a mobilných aplikácií. Zraniteľnosť je spôsobená nesprávnym overovaním vstupu zadávaného používateľom pri nahrávaní súborov. Vzdialený neoverený útočník by mohol do aplikácie odoslať špeciálne vytvorené dáta a vykonávať ľubovoľný kód (RCE).
Spoločnosť Adobe uvádza, že okrem aktualizácie samotného produktu ColdFusion je potrebné pre zabezpečenie systému inštalovať aj najnovšie aktualizácie Java Development Kit a Java Runtime Environment. Aktualizácie samotného Adobe ColdFusion nie je dostačujúca.
Zraniteľné systémy
ColdFusion:
2016, 2016 Update 1, 2016 Update 2, 2016 Update 3, 2016 Update 4, 2016 Update 5, 2016 Update 6, 2016 Update 7, 2016 Update 8, 2016 Update 9, 2016 Update 10, 2016 Update 11, 2016 Update 12, 2016 Update 13, 2016 Update 14, 2016 Update 15, 2016 Update 16, 2018 Update 1, 2018 Update 2, 2018 Update 3, 2018 Update 4, 2018 Update 5, 2018 Update 6, 2018 Update 7, 2018 Update 8, 2018 Update 9, 2018 Update 10, 2018.0.0.310739, 2021
JDK/JRE vydanie LTS pre verzie 1.8 a JDK verzie 11
Závažnosť zraniteľnosti
Vysoká
Možné škody
Vzdialené vykonávanie kódu
Únik citlivých informácií
Odporúčania
Odporúčame bezodkladnú aktualizáciu produktu Adobe ColdFusion spolu s JDK a JRE na najnovšie verzie.
Odkazy
https://threatpost.com/adobe-critical-coldfusion-flaw-update/164946/
https://www.bleepingcomputer.com/news/security/critical-code-execution-vulnerability-fixed-in-adobe-coldfusion/
https://nvd.nist.gov/vuln/detail/CVE-2018-15961
https://www.cybersecurity-help.cz/vdb/SB2021032222