Boletín de seguridad de Adobe

Actualizaciones de seguridad disponibles para Adobe ColdFusion | APSB23-25

ID del boletín

Fecha de publicación

Prioridad

APSB23-25

14 de marzo de 2023

1

Resumen

Adobe ha lanzado actualizaciones de seguridad para las versiones de 2021 y 2018 de ColdFusion. Estas actualizaciones solucionan vulnerabilidades críticas e importantes  que podrían dar lugar a la ejecución de código arbitrario y a la pérdida de memoria.

Adobe es consciente de que CVE-2023-26360 se ha explotado en ataques muy limitados dirigidos a Adobe ColdFusion.

Versiones afectadas

Producto

Número de actualización

Plataforma

ColdFusion 2018

Actualización 15 y versiones anteriores    

Todas

ColdFusion 2021

Actualización 5 y versiones anteriores

Todas

Solución

Adobe categoriza estas actualizaciones de acuerdo a los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:

Producto

Versión actualizada

Plataforma

Nivel de prioridad

Disponibilidad

ColdFusion 2018

Actualización 16

Todas

1

ColdFusion 2021

Actualización 6 

Todas

1

Nota:

Adobe recomienda actualizar ColdFusion JDK/JRE a la versión más reciente de LTS para y JDK 11. La actualización de ColdFusion sin la actualización de JDK correspondiente NO asegura el servidor. Consulte las notas técnicas relevantes para obtener más detalles. 

Adobe también recomienda a sus clientes aplicar los ajustes de configuración de la página de seguridad de ColdFusion y consultar las guías de bloqueo correspondientes.    

Detalles sobre la vulnerabilidad

Categoría de vulnerabilidad

Impacto de la vulnerabilidad

Gravedad

Puntuación base CVSS 

Números CVE

Deserialización de datos que no son de confianza (CWE-502)

Ejecución de código arbitraria

Crítica

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2023-26359

Control de acceso incorrecto (CWE-284)

Ejecución de código arbitraria

Crítica

8.6

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N

CVE-2023-26360

Limitación incorrecta de un nombre de ruta a un directorio restringido ('Travesía de ruta') (CWE-22)

Pérdida de memoria

Importante

4.9

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N

CVE-2023-26361

Reconocimientos

Adobe desea dar las gracias a las siguientes personas y entidades por informar sobre problemas importantes y colaborar con Adobe para ayudarnos a proteger a nuestros clientes:

  • Patrick Vares (ELS-PHI) - CVE-2023-26359
  • Charlie Arehart y Pete Freitag - CVE-2023-26360
  • Dusan Stevanovic de Trend Micro - CVE-2023-26361

Requisito de JDK de ColdFusion

COLDFUSION 2021 (versión 2021.0.0.323925) y posteriores

Para servidores de aplicaciones   

En instalaciones de JEE, debe establecer la siguiente marca de JVM: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", en el archivo de inicio correspondiente en función del tipo de servidor de aplicaciones que esté utilizando. 

Por ejemplo:   

Servidor de aplicaciones Apache Tomcat: edite JAVA_OPTS en el archivo ‘Catalina.bat/sh’

Servidor de aplicaciones WebLogic: edite JAVA_OPTIONS en el archivo ‘startWeblogic.cmd’

Servidor de aplicaciones WildFly/EAP: edite JAVA_OPTS en el archivo ‘standalone.conf’

Establezca las marcas de JVM en la instalación de JEE de ColdFusion, no en una instalación independiente.   

 

COLDFUSION 2018 HF1 y versiones posteriores  

Para servidores de aplicaciones   

En instalaciones de JEE, debe establecer la siguiente marca de JVM: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", en el archivo de inicio correspondiente en función del tipo de servidor de aplicaciones que esté utilizando. 

Por ejemplo:   

Servidor de aplicaciones Apache Tomcat: edite JAVA_OPTS en el archivo ‘Catalina.bat/sh’

Servidor de aplicaciones WebLogic: edite JAVA_OPTIONS en el archivo ‘startWeblogic.cmd’

Servidor de aplicaciones WildFly/EAP: edite JAVA_OPTS en el archivo ‘standalone.conf’

Establezca las marcas de JVM en la instalación de JEE de ColdFusion, no en una instalación independiente.   

 

Revisiones

14 de marzo de 2023: Revisión del impacto de la vulnerabilidad para CVE-2023-26360


Para obtener más información, visite https://helpx.adobe.com/es/security.html o envíe un correo electrónico a la dirección PSIRT@adobe.com 

 Adobe

Obtén ayuda de forma más rápida y sencilla

¿Nuevo usuario?

Adobe MAX 2024

Adobe MAX
La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX

La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX 2024

Adobe MAX
La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX

La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea