Adobe ColdFusion

CISA har tilføjet en den nyligt opdaterede kritiske sårbarhed Adobe ColdFusion version 2021 og 2018 til sit katalog over sikkerhedsfejl.

Der er tale om en fejl, der blev kendt i offentligheden ifm. Adobes Patch Tuesday den anden tirsdag i måneden, hvor det blev meldt ud, at Adobe havde kendskab til udnyttelser i meget begrænsede angreb. Det skriver Bleeping Computer og en række andre medier.

Der rapporteres om flere sårbarheder i ColdFusion. Disse lukkes nu med en sikkerhedsopdatering fra Adobe.

I værste tilfælde kan en angriber potentielt afvikle ondsindet kode på sårbare systemer.

ColdFusion er en platform til udvikling af web-applikationer.

Berørte systemer:

• Adobe ColdFusion 2018 update 4 og tidligere.
• Adobe ColdFusion 2016 update 11 og tidligere.

Anbefaling:

Opdater altid dine produkter med de nyeste rettelser fra producenten. Anvend så få brugerrettigheder som det er muligt.

Der rapporteres om flere sårbarheder i Adobe ColdFusion, hvor de værste potentielt kan medføre afvikling af ondsindet kode på sårbare systemer.

ColdFusion er en udviklingsplatform til webapplikationer.

Følgende versioner er berørt:

• ColdFusion 2018 alle versioner tidligere end Update 3.
• ColdFusion 2016 alle versioner tidligere end Update 10.
• ColdFusion 11 alle versioner tidligere end Update 18.

Anbefaling:

Opdater altid dine systemer med de nyeste rettelser fra producenten.

Der rapporteres om en sårbarhed (CVE-2019-7816) i Adobe ColdFusion, der potentielt kan medføre, at der kan afvikles ondsindet kode på sårbare systemer.

Adobe ColdFusion er en platform til udvikling af web-applikationer.

Sårbarheden giver en angriber mulighed for at forbigå restriktionerne for upload af filer.

Sårbarheden berører følgende udgaver til alle platforme:

April måneds sikkerhedsrettelser fra Adobe fjerner sårbarheder i Flash Player, ColdFusion, Adobe PhoneGap Push Plugin, Digital Editions, InDesign og Experience Manager.

Blandt de alvorligste sårbarheder er tre i Flash Player. De giver angribere mulighed for at afvikle skadelig programkode.

Fejlene er rettet i Flash Player 29.0.0.140.

Der er fundet fem sårbarheder i ColdFusion, heraf to kritiske. De er rettet med Update 6 til 2016-versionen og Update 14 til ColdFusion 11.

En opdatering til Adobe Flash Player lukker to kritiske sikkerhedshuller. Angribere kan udnytte dem til at afvikle skadelig programkode.

Fejlene er rettet i Flash Player version 27.0.0.130.

Opdateringer til ColdFusion fjerner tre kritiske sårbarheder og en mindre alvorlig.

Fejlene er rettet med Update 5 til 2016-versionen og Update 13 til ColdFusion 11.

En opdatering til RoboHelp lukker et vigtigt og et mindre alvorligt sikkerhedshul.

Fejlene er rettet med RH2017.0.2 eller RH12.0.4.460 (Hotfix).

Den ene sårbarhed ligger i Apache BlazeDS. Den er relateret til deserialization i Java.

Den anden sårbarhed består i manglende inputvalidering, der kan udnyttes i cross-site scripting-angreb.

Fejlene er rettet i disse versioner:

• ColdFusion (2016 release) update 4
• ColdFusion 11 update 12
• ColdFusion 10 update 23

Adobe betegner begge sårbarheder som vigtige, men ikke kritiske.

Anbefaling

Opdater ColdFusion.