Vulnerability Bulletins |
Macromedia ColdFusion MX 6.1: usuarios no privilegiados pueden instanciar objetos |
|
Vulnerability classification |
|
Property | Value |
Confidence level | Oficial |
Impact | Integridad |
Dificulty | Experto |
Required attacker level | Acceso remoto con cuenta |
System information |
|
Property | Value |
Affected manufacturer | Comercial Software |
Affected software |
ColdFusion MX 6.1 Enterprise ColdFusion MX 6.1 J2EE (WebLogic, WebSphere, SunOne, JRun) |
Description |
|
Se ha descubierto una vulnerabilidad en Macromedia ColdFusion MX 6.1 Enterprise y MX 6.1 J2EE. Las versiones ColdFusion MX (ColdFusion 6.0) y ColdFusion MX 6.1 Standard Edition no están afectadas por este fallo. En un entorno compartido, cualquier usuario puede instanciar objetos sin necesidad de llamar a los procedimientos CreateObject() o |
|
Solution |
|
Descargue y descomprima el parche de Macromedia, y sin estar ejecutando ColdFusion, deposite el fichero hf53419_61.jar en las ubicaciones indicadas a continuación, creando los directorios si fuera necesario. Sustituya [cf_root] por el directorio raíz de instalación de ColdFusion. Actualización de software Macromedia ColdFusion MX 6.1 Parche de seguridad del componente Sandbox http://download.macromedia.com/pub/security/mpsb04-01.zip Macromedia ColdFusion MX 6.1 Enterprise [cf_root]/runtime/servers/lib Macromedia ColdFusion MX 6.1 for J2EE (WebLogic) /Bea/WebLogic700/server/bin/applications/cfusion.ear/cfusion.war/WEB-INF/lib Macromedia ColdFusion MX 6.1 for J2EE (Websphere) /WebSphere/AppServer/installedApps/cfusion.ear/cfusion.war/WEB-INF/lib Macromedia ColdFusion MX 6.1 for J2EE (SunOne) /iPlanet/Servers/docs/CFusionMX/WEB-INF/lib Macromedia ColdFusion MX 6.1 for J2EE (JRun) /jrun4/servers/default/cfusion/WEB-INF/cfusion/lib |
|
Standar resources |
|
Property | Value |
CVE | |
BID | |
Other resources |
|
Macromedia Security Advisory MPSB04-01: Security Patch available for ColdFusion MX sandbox security http://www.macromedia.com/devnet/security/security_zone/mpsb04-01.html |
Version history |
||
Version | Comments | Date |
1.0 | Aviso emitido | 2004-02-03 |