Vulnerabilidad crítica de ejecución de código corregida en Adobe ColdFusion
Adobe ha lanzado actualizaciones de seguridad fuera de banda para abordar una vulnerabilidad crítica que afecta a las versiones 2021, 2016 y 2018 de ColdFusion.
Las actualizaciones de emergencia de hoy corrigen una falla de seguridad de ejecución de código arbitrario causada por un archivo Validación de entrada incorrecta vulnerabilidades de software.
Adobe lanzó ColdFusion 2016 Update 17, ColdFusion 2018 Update 11 y ColdFusion 2021 Update 1 para corregir la vulnerabilidad y dijo que todas las versiones anteriores a estos parches son vulnerables a los ataques.
También se necesitan actualizaciones del último JDK para proteger los servidores.
En boletín de seguridad Lanzada hoy, Adobe ha etiquetado la vulnerabilidad detectada como CVE-2021-21087 con "nivel de prioridad 2", asignado a defectos sin exploits conocidos que afecten a productos que históricamente han estado en alto riesgo.
Adobe recomienda que los administradores instalen actualizaciones de seguridad lo antes posible y apliquen los ajustes de configuración de seguridad descritos en el archivo. ColdFusion 2021, ColdFusion 2018, es ColdFusion 2016 guías de bloqueo.
"Adobe recomienda actualizar su ColdFusion JDK / JRE a la última versión de las versiones LTS para 1.8 y JDK 11", dijo también la compañía.
"Aplicar la actualización de ColdFusion sin la correspondiente actualización de JDK NO protegerá el servidor. "
Se pueden encontrar más detalles sobre cómo aplicar estas actualizaciones en las notas técnicas relevantes vinculadas en la tabla incrustada a continuación.
| Producto | Versiones vulnerables | Versión actualizada | plataforma | Disponibilidad |
| ColdFusion 2016 | Actualización 16 y versión anterior | Actualización 17 | Todos | Nota tecnica |
| ColdFusion 2018 | Actualización 10 y anterior | Actualización 11 | Todos | Nota tecnica |
| ColdFusion 2021 | Versión 2021.0.0.323925 | Actualización 1 | Todos | Nota tecnica |
La Agencia de Seguridad Nacional de EE. UU. (NSA) ha incluido CVE-2018-4939 (un error de Adobe ColdFusion 14) como una de las 25 vulnerabilidades principales utilizadas por piratas informáticos chinos patrocinados por el estado o motivados financieramente para explotar servidores públicos.
Por ejemplo, en noviembre de 2018, los piratas informáticos respaldados por China servidores ColdFusion detectados distribuir puertas traseras de China Chopper después de explotar un error rastreado como CVE-2018-15961 y remendado dos meses antes.
También se observó a principios de ese año que el grupo de ciberdelincuencia de habla china Rocke lanzaba malware de criptominería en Internet mediante la explotación de servidores Adobe ColdFusion sin parches contra errores similares.
Otra vulnerabilidad de ColdFusion, CVE-2018-15961, ha sido incluida por la NSA en la lista de errores más explotados para implementar shells web en servidores vulnerables.
Descubre más contenido