ID del boletín
Última actualización el
9 ene 2025
Actualizaciones de seguridad disponibles para Adobe ColdFusion | APSB24-14
|
|
Fecha de publicación |
Prioridad |
|
APSB24-14 |
12 de marzo de 2024 |
1 |
Resumen
Adobe ha lanzado actualizaciones de seguridad para las versiones de 2023 y 2021 de ColdFusion. Estas actualizaciones solucionan vulnerabilidades críticas que podrían provocar la lectura arbitraria del sistema de archivos y la elevación de privilegios.
Adobe sabe que CVE-2024-20767 tiene una demostración conceptual conocida que podría provocar una lectura arbitraria del sistema de archivos.
Versiones afectadas
|
Producto |
Número de actualización |
Plataforma |
|
ColdFusion 2023 |
Actualización 6 y versiones anteriores |
Todas |
|
ColdFusion 2021 |
Actualización 12 y versiones anteriores |
Todas |
Solución
Adobe categoriza estas actualizaciones de acuerdo a los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:
|
Producto |
Versión actualizada |
Plataforma |
Nivel de prioridad |
Disponibilidad |
|---|---|---|---|---|
|
ColdFusion 2023 |
Actualización 12 |
Todas |
1 |
|
|
ColdFusion 2021 |
Actualización 18 |
Todas |
1 |
Nota:
Consulte la documentación actualizada del filtro serie para obtener más detalles sobre la protección contra ataques de deserialización Wddx inseguros https://helpx.adobe.com/es/coldfusion/kb/coldfusion-serialfilter-file.html
Detalles sobre la vulnerabilidad
|
Categoría de vulnerabilidad |
Impacto de la vulnerabilidad |
Gravedad |
Puntuación base CVSS |
Números CVE |
Notas |
|
|
Control de acceso incorrecto (CWE-284) |
Lectura arbitraria del sistema de archivos |
Crítico |
8.2 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
CVE-2024-20767 |
Esta vulnerabilidad se ha corregido en la actualización 12 de ColdFusion 2023 y la actualización 18 de ColdFusion 2021. Consulte APSB24-107 para obtener más información. |
|
Autenticación incorrecta (CWE-287) |
Ampliación de privilegios |
Crítica |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
CVE-2024-45113 |
Este problema se ha corregido en la actualización 7 de ColdFusion 2023 y versiones posteriores, y la actualización 13 de ColdFusion 2021 y versiones posteriores. |
Reconocimientos:
Adobe desea dar las gracias a los siguientes investigadores por informar sobre este problema y por colaborar con Adobe para ayudarnos a proteger a nuestros clientes:
- ma4ter - CVE-2024-20767
- Brian Reilly (reillyb) - CVE-2024-45113
NOTA: Adobe tiene un programa público de detección de errores con HackerOne. Si está interesado en trabajar con Adobe como investigador de seguridad externo, consulte: https://hackerone.com/adobe
Nota:
Adobe recomienda actualizar JDK/JRE LTS de ColdFusion a la versión más reciente. Compruebe si su versión de JDK es compatible en la siguiente tabla de compatibilidad de ColdFusion.
Tabla de compatibilidad de ColdFusion:
CF2023: https://helpx.adobe.com/pdf/coldfusion2023-suport-matrix.pdf
CF2021: https://helpx.adobe.com/pdf/coldfusion2021-support-matrix.pdf
La actualización de ColdFusion sin la actualización de JDK correspondiente NO asegura el servidor. Consulte las notas técnicas relevantes para obtener más detalles.
Adobe también recomienda a sus clientes aplicar los ajustes de configuración de la página de seguridad de ColdFusion y consultar las guías de bloqueo correspondientes.
Requisito de JDK de ColdFusion
COLDFUSION 2023 (versión 2023.0.0.330468) y posteriores
Para servidores de aplicaciones
En las instalaciones de JEE, debe establecer la siguiente marca de JVM: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**" en el archivo de inicio correspondiente en función del tipo de servidor de aplicaciones que esté utilizando.
Por ejemplo:
Servidor de aplicaciones Apache Tomcat: edite JAVA_OPTS en el archivo ‘Catalina.bat/sh’
Servidor de aplicaciones WebLogic: edite JAVA_OPTIONS en el archivo ‘startWeblogic.cmd’
Servidor de aplicaciones WildFly/EAP: edite JAVA_OPTS en el archivo ‘standalone.conf’
Establezca las marcas de JVM en la instalación de JEE de ColdFusion, no en una instalación independiente.
COLDFUSION 2021 (versión 2021.0.0.323925) y posteriores
Para servidores de aplicaciones
En instalaciones de JEE, debe establecer la siguiente marca de JVM: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**"
en el archivo de inicio correspondiente en función del tipo de servidor de aplicaciones que esté utilizando.
Por ejemplo:
Servidor de aplicaciones Apache Tomcat: edite JAVA_OPTS en el archivo ‘Catalina.bat/sh’
Servidor de aplicaciones WebLogic: edite JAVA_OPTIONS en el archivo ‘startWeblogic.cmd’
Servidor de aplicaciones WildFly/EAP: edite JAVA_OPTS en el archivo ‘standalone.conf’
Establezca las marcas de JVM en la instalación de JEE de ColdFusion, no en una instalación independiente.
Revisiones
23 de diciembre de 2024 - Actualizado: Resumen, solución de la actualización 7 de ColdFusion 2023 a la actualización 12 de ColdFusion 2023, la actualización 13 de ColdFusion 2021 a la actualización 18 de ColdFusion 2021, Prioridad de 3 a 1, y añadida la columna Notas a la tabla de detalles de la vulnerabilidad.
10 de septiembre de 2024: Se ha añadido el CVE-2024-45113
Para obtener más información, visite https://helpx.adobe.com/es/security.html o envíe un correo electrónico a la dirección PSIRT@adobe.com
