ID del boletín
Actualizaciones de seguridad disponibles para Adobe ColdFusion | APSB23-25
|
Fecha de publicación |
Prioridad |
APSB23-25 |
14 de marzo de 2023 |
1 |
Resumen
Adobe ha lanzado actualizaciones de seguridad para las versiones de 2021 y 2018 de ColdFusion. Estas actualizaciones solucionan vulnerabilidades críticas e importantes que podrían dar lugar a la ejecución de código arbitrario y a la pérdida de memoria.
Adobe es consciente de que CVE-2023-26360 se ha explotado en ataques muy limitados dirigidos a Adobe ColdFusion.
Versiones afectadas
Producto |
Número de actualización |
Plataforma |
ColdFusion 2018 |
Actualización 15 y versiones anteriores |
Todas |
ColdFusion 2021 |
Actualización 5 y versiones anteriores |
Todas |
Solución
Adobe categoriza estas actualizaciones de acuerdo a los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:
Producto |
Versión actualizada |
Plataforma |
Nivel de prioridad |
Disponibilidad |
---|---|---|---|---|
ColdFusion 2018 |
Actualización 16 |
Todas |
1 |
|
ColdFusion 2021 |
Actualización 6 |
Todas |
1 |
Adobe recomienda actualizar ColdFusion JDK/JRE a la versión más reciente de LTS para y JDK 11. La actualización de ColdFusion sin la actualización de JDK correspondiente NO asegura el servidor. Consulte las notas técnicas relevantes para obtener más detalles.
Adobe también recomienda a sus clientes aplicar los ajustes de configuración de la página de seguridad de ColdFusion y consultar las guías de bloqueo correspondientes.
Detalles sobre la vulnerabilidad
Categoría de vulnerabilidad |
Impacto de la vulnerabilidad |
Gravedad |
Puntuación base CVSS |
Números CVE |
|
Deserialización de datos que no son de confianza (CWE-502) |
Ejecución de código arbitraria |
Crítica |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2023-26359 |
Control de acceso incorrecto (CWE-284) |
Ejecución de código arbitraria |
Crítica |
8.6 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N |
CVE-2023-26360 |
Limitación incorrecta de un nombre de ruta a un directorio restringido ('Travesía de ruta') (CWE-22) |
Pérdida de memoria |
Importante |
4.9 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-26361 |
Reconocimientos
Adobe desea dar las gracias a las siguientes personas y entidades por informar sobre problemas importantes y colaborar con Adobe para ayudarnos a proteger a nuestros clientes:
- Patrick Vares (ELS-PHI) - CVE-2023-26359
- Charlie Arehart y Pete Freitag - CVE-2023-26360
- Dusan Stevanovic de Trend Micro - CVE-2023-26361
Requisito de JDK de ColdFusion
COLDFUSION 2021 (versión 2021.0.0.323925) y posteriores
Para servidores de aplicaciones
En instalaciones de JEE, debe establecer la siguiente marca de JVM: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", en el archivo de inicio correspondiente en función del tipo de servidor de aplicaciones que esté utilizando.
Por ejemplo:
Servidor de aplicaciones Apache Tomcat: edite JAVA_OPTS en el archivo ‘Catalina.bat/sh’
Servidor de aplicaciones WebLogic: edite JAVA_OPTIONS en el archivo ‘startWeblogic.cmd’
Servidor de aplicaciones WildFly/EAP: edite JAVA_OPTS en el archivo ‘standalone.conf’
Establezca las marcas de JVM en la instalación de JEE de ColdFusion, no en una instalación independiente.
COLDFUSION 2018 HF1 y versiones posteriores
Para servidores de aplicaciones
En instalaciones de JEE, debe establecer la siguiente marca de JVM: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", en el archivo de inicio correspondiente en función del tipo de servidor de aplicaciones que esté utilizando.
Por ejemplo:
Servidor de aplicaciones Apache Tomcat: edite JAVA_OPTS en el archivo ‘Catalina.bat/sh’
Servidor de aplicaciones WebLogic: edite JAVA_OPTIONS en el archivo ‘startWeblogic.cmd’
Servidor de aplicaciones WildFly/EAP: edite JAVA_OPTS en el archivo ‘standalone.conf’
Establezca las marcas de JVM en la instalación de JEE de ColdFusion, no en una instalación independiente.
Revisiones
14 de marzo de 2023: Revisión del impacto de la vulnerabilidad para CVE-2023-26360
Para obtener más información, visite https://helpx.adobe.com/es/security.html o envíe un correo electrónico a la dirección PSIRT@adobe.com