Boletín de seguridad de Adobe

Actualizaciones de seguridad disponibles para Adobe ColdFusion | APSB22-22

ID del boletín

Fecha de publicación

Prioridad

APSB22-22

10 de mayo de 2022

3

Resumen

Adobe ha lanzado actualizaciones de seguridad para las versiones de 2021 y 2018 de ColdFusion. Estas actualizaciones resuelven una vulnerabilidad importante  que podría conducir a la ejecución de código arbitrario.
   

Versiones afectadas

Producto

Número de actualización

Plataforma

ColdFusion 2018

Actualización 13 y versiones anteriores    

Todas

ColdFusion 2021

Versión 3 y anteriores

Todas

Solución

Adobe categoriza estas actualizaciones de acuerdo a los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:

Producto

Versión actualizada

Plataforma

Nivel de prioridad

Disponibilidad

ColdFusion 2018

Actualización 14

Todas

3

ColdFusion 2021

Actualización 4

Todas

3

Nota:

Adobe recomienda actualizar ColdFusion JDK/JRE a la versión más reciente de LTS para 1.8 y JDK 11. La actualización de ColdFusion sin la actualización de JDK correspondiente NO asegura el servidor.  Consulte las notas técnicas relevantes para obtener más detalles. 

Adobe también recomienda a sus clientes aplicar los ajustes de configuración de la página de seguridad de ColdFusion y consultar las guías de bloqueo correspondientes.    

Detalles sobre la vulnerabilidad

Categoría de vulnerabilidad

Impacto de la vulnerabilidad

Gravedad

Puntuación base CVSS 

Números CVE

Ejecución de scripts en sitios múltiples (XSS reflejado) (CWE-79)

Ejecución de código arbitraria

Importante 

5.4

CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N

CVE-2022-28818

Reconocimientos

Adobe desea dar las gracias a las siguientes personas y entidades por informar sobre problemas importantes y colaborar con Adobe para ayudarnos a proteger a nuestros clientes:

  • UB3RSiCK (ub3rsick) - CVE-2022-28818

Requisito de JDK de ColdFusion

COLDFUSION 2021 (versión 2021.0.0.323925) y posteriores

Para servidores de aplicaciones   

En instalaciones de JEE, debe establecer la siguiente marca de JVM: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", en el archivo de inicio correspondiente en función del tipo de servidor de aplicaciones que esté utilizando. 

Por ejemplo:   

Servidor de aplicaciones Apache Tomcat: edite JAVA_OPTS en el archivo ‘Catalina.bat/sh’

Servidor de aplicaciones WebLogic: edite JAVA_OPTIONS en el archivo ‘startWeblogic.cmd’

Servidor de aplicaciones WildFly/EAP: edite JAVA_OPTS en el archivo ‘standalone.conf’

Establezca las marcas de JVM en la instalación de JEE de ColdFusion, no en una instalación independiente.   

 

COLDFUSION 2018 HF1 y versiones posteriores  

Para servidores de aplicaciones   

En instalaciones de JEE, debe establecer la siguiente marca de JVM: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", en el archivo de inicio correspondiente en función del tipo de servidor de aplicaciones que esté utilizando. 

Por ejemplo:   

Servidor de aplicaciones Apache Tomcat: edite JAVA_OPTS en el archivo ‘Catalina.bat/sh’

Servidor de aplicaciones WebLogic: edite JAVA_OPTIONS en el archivo ‘startWeblogic.cmd’

Servidor de aplicaciones WildFly/EAP: edite JAVA_OPTS en el archivo ‘standalone.conf’

Establezca las marcas de JVM en la instalación de JEE de ColdFusion, no en una instalación independiente.   

 


Para obtener más información, visite https://helpx.adobe.com/es/security.html o envíe un correo electrónico a la dirección PSIRT@adobe.com 

Logotipo de Adobe

Inicia sesión en tu cuenta