Компания Adobe выпустила патчи для платформы веб-разработки ColdFusion. В числе прочих закрыты критические уязвимости, грозящие выполнением произвольного кода.

Совокупно разработчик устранил девять брешей в продукте. Согласно бюллетеню, новые проблемы затрагивают выпуск от 12 июля 2018 года, релиз 2016 (все сборки до Update 6 включительно), а также ColdFusion 11 (Update 14 и ниже).

Шесть багов оценены как критические; четыре из них (CVE-2018-15965, CVE-2018-15957, CVE-2018-15958, CVE-2018-15959) относятся к категории «Десериализация недоверенных данных». Уязвимость CVE-2018-15961 связана с отсутствием ограничений на загрузку файлов, еще одна критическая брешь (CVE-2018-15960) открывает возможность для перезаписи произвольного файла.

Существенными признаны обход защиты (CVE-2018-15963), позволяющий создавать любые папки, и возможность просмотра содержимого директорий (CVE-2018-15962), грозящая раскрытием важной информации. Еще один подобный баг — CVE-2018-15964 — оценен как умеренно опасный.

Данных об использовании какой-либо бреши в реальных атаках у Adobe нет. Пользователям рекомендуется установить обновления ColdFusion 2018 Update 1, ColdFusion 2016 Update 7 и ColdFusion 11 Update 15. Разработчик также советует использовать безопасную конфигурацию (настройки указаны на странице ColdFusion Security) и ознакомиться с соответствующим руководством по блокировке (Lockdown Guide).

Кроме ColdFusion, плановый патч получил Adobe Flash Player, работающий на платформах Windows, macOS, Linux и Chrome OS. В нем устранен опасный баг повышения привилегий CVE-2018-15967, влекущий раскрытие информации. Уязвимости подвержены десктопные и браузерные Flash 30.0.0.154 и ниже. Активных эксплойтов также не обнаружено, заплатка включена в состав обновления 31.0.0.208.

По объему сентябрьский набор обновлений от Adobe сравним с предыдущим: в августе компания совокупно закрыла 11 уязвимостей, в том числе две критических бреши в Acrobat и Reader, эксплуатация которых позволяет выполнить произвольный код в контексте текущего пользователя. В прошлом месяце вендор также выпустил два внеочередных обновления. Одно из них устраняет два критических бага удаленного исполнения кода в Photoshop CC, другое — уязвимость в приложении Creative Cloud, на тот момент уже преданную огласке вместе с PoC-кодом.

Категории: Главное, Уязвимости