El pasado martes 14 de febrero del 2023, Adobe lanzó parches de seguridad para sus distintos productos incluyendo Photoshop, Experience Manager, Dimension, Commerce, Substance 3D Stager, Cloud Desktop Application e Illustrator.
Las actualizaciones para Adobe ColdFusion abordan tres fallas, una de ellas catalogada como vulnerabilidad de día cero (Zero Day).
La vulnerabilidad más importante se identifica como CVE-2023-26359 con una puntuación CVSS de 9.8, es un problema de deserialización crítica de datos no confiables en Adobe ColdFusion.
Esta falla podría permitir que un atacante remoto pueda pasar datos especialmente diseñados a la aplicación y ejecutar código arbitrario en el sistema de destino. La explotación exitosa de esta vulnerabilidad puede resultar en un compromiso completo del sistema vulnerable.
La segunda vulnerabilidad considerada de día cero e identificada como CVE-2023-26360 con una puntuación CVSS de 8.6, es una falla de control de acceso inadecuado.
Esta falla permitiría que un atacante remoto puede eludir las restricciones de seguridad implementadas y obtener acceso no autorizado a la aplicación.
Adobe menciona que esta falla está siendo explotada activamente en ataques limitados dirigido a Adobe ColdFusion.
La tercera vulnerabilidad identificada como CVE-2023-26361 con una puntuación CVSS de 4.9, es una falla de limitación incorrecta de un nombre de ruta a un directorio restringido (‘Path Traversal’).
Este error de validación de entrada al procesar secuencias transversales de directorio podría permitir a un atacante remoto enviar una solicitud HTTP especialmente diseñada y leer archivos arbitrarios en el sistema.
Versiones afectadas
- ColdFusion 2018 versión 15 y anteriores.
- ColdFusion 2021 versión 5 y anteriores.
Solución
Adobe ha lanzado nuevas versiones para abordar las vulnerabilidades
- ColdFusion 2018 versión 16.
- ColdFusion 2021 versión 6.
Recomendaciones
- Actualizar lo antes posible a la nueva versión disponible.
- Adobe recomienda actualizar su ColdFusion JDK/JRE a la última versión de las versiones LTS para JDK 11. La aplicación de la actualización de ColdFusion sin una actualización de JDK correspondiente NO asegurará el servidor.
Referencias