Adobe выпустила внеплановый патч для ColdFusion, устранив уязвимость, которая уже была недавно пропатчена во фреймворке LiveCycle Data Services.

Патч предназначен для ColdFusion 11, Update 5 и более ранних версий, и ColdFusion 10, Update 16 и ранее. Внеплановый патч (hotfix), в отличие от патча обыкновенного, обычно внедряется вендором напрямую в реализацию программного обеспечения и не требует последующей перезагрузки.

Уязвимость CVE-2015-3269, представляющая собой баг типа XML External Entity (XXE, внешний XML-объект), была обнаружена в компоненте Apache Flex BlazeDS, используемом ColdFusion и LiveCycle Data Services.

«Внеплановый патч устраняет брешь, вызванную обработкой специально созданных внешних XML-объектов в BlazeDS и способную приводить к раскрытию информации», — пишут эксперты Adobe в бюллетене, добавляя, что ими не зафиксировано случаев использования уязвимости itw.

Согласно описанию из Национальной базы данных уязвимостей (National Vulnerability Database), эксплойт этой уязвимости позволит атакующим удаленно считывать файлы. XXE-уязвимости в веб-приложениях, обрабатывающих XML-данные, могут быть использованы для «слива» защищенных файлов из Сети.

«Суть подобной уязвимости в том, что входные XML-данные, содержащие ссылку на внешний элемент, обрабатываются некорректно сконфигурированным XML-парсером», — говорится в описании XXE-уязвимостей на сайте OWASP.

Внеплановый патч для LiveCycle Data Services был выпущен 18 августа и предназначен для версий 4.7, 4.6.2, 4.5 и 3.0 для Windows, Macintosh и UNIX.

LiveCycle Data Services, бывшая Flex Data Services, — средство разработки, позволяющее систематизировать процесс разработки, включая интеграцию данных и клиента, а также внедрение приложения.

Категории: Уязвимости