Компания Adobe исправила три серьезные уязвимости в платформе быстрой разработки ColdFusion. Два бага имеют критический уровень опасности и допускают удаленное выполнение кода либо самовольный выход за пределы рабочего каталога. Третий недостаток оценен как существенный и связан с возможностью несанкционированного раскрытия информации.

Проблемы затрагивают обе актуальные версии продукта и закрыты в релизах ColdFusion 2018 Update 5 и ColdFusion 2016 Update 12.

По мнению специалистов, наибольшую угрозу представляет баг, зарегистрированный как CVE-2019-8073. Ошибка связана с возможностью внедрения сторонних команд через уязвимый модуль платформы, что позволяет киберпреступнику запустить вредоносный скрипт на целевой машине. Adobe поблагодарила команду ИБ-аналитиков Badcode of Knownsec 404 за помощь в обнаружении этой уязвимости.

Другую критическую ошибку в ColdFusion — CVE-2019-8074 — нашел эксперт компании Aura Information Security Даниэль Андерхей (Daniel Underhay). Возможность обхода каталога позволяет злоумышленнику миновать механизмы контроля доступа и создать или перезаписать любой файл на сервер. По сообщению разработчика, помощь в исследовании этой проблемы оказали специалисты компаний Techlegalia и Foundeo.

Баг в Adobe ColdFusion может стать причиной утечки данных

Чуть менее опасна уязвимость CVE-2019-8072, выявленная ИБ-аналитиком Питом Фрейтэгом (Pete Freitag). Баг связан с возможностью обхода защитных механизмов ColdFusion, приводящего к несанкционированному раскрытию конфиденциальных данных.

Вендор рекомендует владельцам уязвимых систем как можно скорее установить патчи; обновленные версии обоих вариантов платформы доступны на сайте Adobe. В целях безопасности разработчик пока не раскрывает технические детали выявленных недостатков.

В начале марта Adobe выпустила патч для критического бага, связанного с возможностью выполнения стороннего кода в среде ColdFusion. Как выяснили эксперты, злоумышленник мог загрузить вредоносный скрипт в один из каталогов на сервере платформы и удаленно запустить его, используя HTTP-запрос.

Категории: Главное, Кибероборона, Уязвимости