Adobe
ha publicado un boletín de seguridad para anunciar la actualización necesaria
para solucionar una vulnerabilidad en
Cold Fusion que podría permitir la
obtención de información sensible.
En el boletín de seguridad APSB16-30
de Adobe, se recoge una actualización para ColdFusion versiones 11 (Update 9) y
10 (Update 20). Este parche está destinado a corregir una vulnerabilidad crítica relacionada con un error en el
tratamiento de entidades XML específicamente creadas que podrían facilitar la
obtención de información sensible (CVE-2016-4264).
Esta vulnerabilidad
podría permitir varios tipos de ataque, incluyendo la lectura de archivos
arbitrarios, el listado de directorios (web y sistema), ataques SSRF, ataques
SMB Relay, subida de archivos temporales que podrían emplearse en combinación
con otros ataques.
Se recomienda a los usuarios
actualicen sus productos según las instrucciones proporcionadas por Adobe:
ColdFusion 11 (Update 10):
ColdFusion 10 (Update 21):
Más información:
Security Update: Hotfixes available for
ColdFusion
Adobe ColdFusion <= 11 XML External Entity (XXE) Injection
http://legalhackers.com/advisories/Adobe-ColdFusion-11-XXE-Exploit-CVE-2016-4264.txt
Antonio Ropero
Twitter: @aropero