Adobe ha publicado múltiples actualizaciones para corregir diversas vulnerabilidades críticas en ColdFusion v8.0.1 (y versiones anteriores), y JRun 4.0. Estos problemas podrían permitir a un atacante comprometer las cuentas de usuario o los sistemas afectados.
Los problemas anunciados y corregidos son de diversa índole:
Una primera actualización corrige dos vulnerabilidades de cross-site scripting en ColdFusion que podrían permitir la ejecución de código. Afecta a ColdFusion 7.0.2, 8 y 8.0.1.
Igualmente se ha publicado otra actualización para JRun que resuelve diversos problemas:
Una vulnerabilidad de escalada de directorios en la consola de administración que podría dar lugar a una revelación de información sensible.
La misma actualización corrige múltiples vulnerabilidades de cross-site scripting en la consola de administración que podrían permitir la ejecución de código:
Otra tercera actualización está destinada a evitar múltiples vulnerabilidades de cross-site scripting en ColdFusion que podrían permitir la ejecución de código. Afecta a ColdFusion 7.0.2, 8 y 8.0.1.
De igual forma, se ofrece otra actualización para resolver
múltiples vulnerabilidades de cross-site scripting en ColdFusion que podrían permitir la ejecución de código en ColdFusion 7.0.2, 8 y 8.0.1.
Otra de las actualizaciones publicadas resuelve una vulnerabilidad de carácter nulo doblemente codificado que podría dar lugar a una revelación de información sensible. Solo afecta a instalaciones de ColdFusion configuradas con Apache.
La última de las actualizaciones publicadas está destinada a corregir una vulnerabilidad de tratamiento de sesiones en ColdFusion que podría dar lugar a una escalada de privilegios. Afecta a ColdFusion 7.0.2, 8 y 8.0.1.
Dada la diversidad de parches y versiones afectadas se recomienda consultar el boletín publicado por Adobe en:
http://www.adobe.com/support/security/bulletins/apsb09-12.html
antonior@hispasec.com
Más información:
Security Update: Hotfixes available for ColdFusion and JRun
http://www.adobe.com/support/security/bulletins/apsb09-12.html
Deja una respuesta