int(5263)

Boletines de Vulnerabilidades


Múltiples vulnerabilidades en Adobe ColdFusion

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Aumento de la visibilidad
Dificultad Avanzado
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema

Propiedad Valor
Fabricante afectado Comercial Software
Software afectado ColdFusion 8.0
ColdFusion 8.01
ColdFusion < 9.0

Descripción

Se han encontrado múltiples vulnerabilidades en Adobe ColdFusion v8.0, v8.01, v9.0 y anteriores. Las vulnerabilidades son descritas a continuación:

- CVE-2009-3467: Se ha descubierto una vulnerabilidad de tipo Cross-Site Scripting. La vulnerabilidad reside en un error a la hora de validar los datos de entrada del usuario. Un atacante remoto podría ejecutar código script arbitrario en el contexto de la aplicación web, y aprovecharlo para robar credenciales de cookies y lanzar otros ataques.

- CVE-2010-1293: Se ha descubierto una vulnerabilidad de tipo Cross-Site Scripting. La vulnerabilidad reside en un error en la página de administración de ColdFusion. Un atacante remoto podría ejecutar código script arbitrario en el contexto de la aplicación web y aprovecharlo para robar credenciales de cookies y lanzar otros ataques.

- CVE-2010-1294: Se ha descubierto una vulnerabilidad de divulgación de información. La vulnerabilidad reside en un error a la hora de mostrar cierta información indebida. Un atacante local podría explotar este fallo para obtener información sensible que puede servirle para realizar futuros ataques.

Solución



Actualización de software

Adobe (APSB10-11)
Adobe recomienda actualizar ColdFusion con las instrucciones proporcionadas en:
http://kb2.adobe.com/cps/841/cpsid_84102.html.

Identificadores estándar

Propiedad Valor
CVE CVE-2009-3467
CVE-2010-1293
CVE-2010-1294
BID

Recursos adicionales

Adobe Security Bulletin (APSB10-11)
http://www.adobe.com/support/security/bulletins/apsb10-11.html

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2010-05-12

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT