Se identificaron múltiples vulnerabilidades en Adobe ColdFusion. Un actor malicioso podría explotar algunas de estas vulnerabilidades para desencadenar la ejecución remota de código, secuencias de comandos entre sitios y manipulación de datos en el sistema objetivo.
Productos Afectados
ColdFusion (versión 2016) Update 3 y versiones anteriores
ColdFusion 11 Update 11 y versiones anteriores
ColdFusion 10 Update 22 y versiones anteriores
Impacto
Las vulnerabilidades se identifican como:
- CVE-2017-3066: Con una puntuación CVSSv3.1 de 9.8, clasificada como crítica. Esta vulnerabilidad en Adobe ColdFusion, presente en las versiones 2016 Update 3 y anteriores, 11 Update 11 y anteriores, y 10 Update 22 y anteriores, se debe a una deserialización insegura en la biblioteca Apache BlazeDS. La explotación exitosa podría permitir la ejecución de código arbitrario en el sistema afectado.
- CVE-2017-3008: Con una puntuación CVSSv3.1 de 6.1, clasificada como de severidad media. Esta vulnerabilidad en Adobe ColdFusion, presente en las versiones 2016 Update 3 y anteriores, 11 Update 11 y anteriores, y 10 Update 22 y anteriores, se debe a una falta de validación de entradas que podría ser utilizada en ataques de cross-site scripting (XSS) reflejado.
Recomendaciones:
Actualizar a la última versión disponible del producto afectado desde la página web oficial.
Enlaces Relacionados: