int(3872)

Boletines de Vulnerabilidades

Múltiples vulnerabilidades en Adobe ColdFusion

Clasificación de la vulnerabilidad
Propiedad Valor
Nivel de Confianza Oficial
Impacto Aumento de la visibilidad
Dificultad Avanzado
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema
Propiedad Valor
Fabricante afectado Comercial Software
Software afectado Adobe ColdFusion 8
Adobe ColdFusion MX 7

Descripción
Se han descubierto múltiples vulnerabilidades en Adobe ColdFusion 8 y ColdFusion MX 7. Las vulnerabilidades son descritas a continuación:

- CVE-2008-0643: Se ha descubierto una vulnerabilidad de tipo Cross-Site Scripting. La vulnerabilidad reside en un error en la validación de la entrada no especificado. Un atacante remoto podría inyectar código javaScript o HTML arbitrario mediante métodos no especificados.

- CVE-2008-0644: Se ha descubierto una vulnerabilidad de tipo Cross-Site Scripting. La vulnerabilidad reside en un error de validación de la entrada en la función "setEncoding()". Un atacante remoto podría saltarse la protección contra ataques Cross-Site Scripting para ciertas aplicaciones ColdFusion mediante métodos no especificados.

- CVE-2008-1203: La vulnerabilidad reside en un error de diseño al no registrar en "logs" los intentos de "log-in" contra la interfaz de administración. Un atacante remoto podría no ser detectado al intentar hacer "log-ins".

Solución


Actualización de software

Adobe
ColdFusion 8 Cumulative Hot Fix 3
http://kb.adobe.com/selfservice/viewContent.do?externalId=kb403070&sliceId=1
ColdFusion MX 7
http://kb.adobe.com/selfservice/viewContent.do?externalId=kb403212&sliceId=1

Identificadores estándar
Propiedad Valor
CVE CVE-2008-1203
CVE-2008-0644
CVE-2008-0643
BID 28205

Recursos adicionales
Adobe Security Bulletin (APSB08-06)
http://www.adobe.com/support/security/bulletins/apsb08-06.html

Adobe Security Bulletin (APSB08-07)
http://www.adobe.com/support/security/bulletins/apsb08-07.html

Adobe Security Bulletin (APSB08-08)
http://www.adobe.com/support/security/bulletins/apsb08-08.html

Histórico de versiones
Versión Comentario Fecha
1.0 Aviso emitido 2008-03-12

Miembros de

CERT
FIRST
TF-CSIRT
EGC Group
UE
Red Nacional de SOC
Foro Nacional de Ciberseguridad
CSIRT.es
Ministerio de Defensa
CNI
CCN
CCN-CERT