В минувший вторник Adobe выпустила внеплановые исправления и патчи для трех продуктов, устранив ряд уязвимостей, пока не используемых itw.

Наиболее серьезные из них присутствовали в ColdFusion, платформе Adobe для разработки веб-приложений. Пользователям ColdFusion 11 Update 6 и ColdFusion 10 Update 17, а также более ранних версий рекомендуется произвести обновление до 11 Update 7 и 10 Update 18 соответственно.

«Исправлены две ошибки валидации входных данных, которые можно использовать для проведения отраженной атаки посредством межсайтового выполнения сценариев, — поясняет разработчик в бюллетене. — В хотфикс также включена новая версия BlazeDS, устраняющая серьезный баг подделки запросов на стороне сервера».

Помимо этого Adobe выпустила апдейт для системы безопасности LiveCycle Data Services, фреймворка, облегчающего создание и развертывание приложений. Патч актуален для версий 4.7, 4.6.2, 4.5, 3.1 и 3.0.x, работающих на платформах Windows, Mac OS X и UNIX.

Данное обновление закрывает ту же уязвимость серверной подделки запросов (CVE-2015-5255), которая упомянута выше в связи с ColdFusion, а также содержит новую версию BlazeDS, серверного Java-механизма удаленной передачи данных, интегрированного в оба продукта. Уязвимость обнаружил и представил Adobe Джеймс Кеттл (James Kettle) из PortSwigger Web Security.

Напомним, это уже второе обновление ColdFusion и LiveCycle Data Services за последние три месяца.

Еще один новый патч, для Adobe Premiere Clip, решает проблему с проверкой входных значений, присущую версии 1.1.1 этого видеоредактора для iOS.

Категории: Уязвимости