Boletim de segurança da Adobe

Pesquisar

Última atualização em 28/03/2023

Atualizações de segurança disponíveis para o Adobe ColdFusion | APSB23-25

ID do boletim	Data de publicação	Prioridade
APSB23-25	14 de março de 2023	1

Resumo

A Adobe lançou atualizações de segurança para as versões 2021 e 2018 do ColdFusion. Esta atualização resolve vulnerabilidades críticas e importantes  que poderiam levar à execução arbitrária de código e vazamento de memória.

A Adobe está ciente de que o CVE-2023-26360 tem sido explorado na Web em ataques muito limitados contra o Adobe ColdFusion.

Versões afetadas

Produto	Número da atualização	Plataforma
ColdFusion 2018	Atualização 15 e versões anteriores	Todos
ColdFusion 2021	Atualização 5 e versões anteriores	Todos

Solução

A Adobe classifica essas atualizações com a seguinte avaliação de prioridade e recomenda que os usuários atualizem suas instalações para as versões mais recentes:

Produto	Versão atualizada	Plataforma	Classificação de prioridade	Disponibilidade
ColdFusion 2018	Atualização 16	Todos	1	Nota técnica
ColdFusion 2021	Atualização 6	Todos	1	Nota técnica

Observação:

A Adobe recomenda atualizar o ColdFusion JDK/JRE para a versão mais recente das versões LTS para JDK 11. Aplicar a atualização de ColdFusion sem uma atualização correspondente do JDK não protegerá o servidor. Consulte as Notas técnicas relevantes para obter mais detalhes.

A Adobe recomenda que os clientes apliquem as configurações de segurança descritas na página Segurança do ColdFusion, além de revisar os respectivos guias de bloqueio.

Detalhes da vulnerabilidade

Categoria da vulnerabilidade	Impacto da vulnerabilidade	Severidade	Pontuação base de CVSS	Vetor CVSS	Números CVE
Cancelamento de serialização de dados não confiáveis (CWE-502)	Execução de código arbitrário	Crítico	9.8	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	CVE-2023-26359
Controle de acesso impróprio (CWE-284)	Execução de código arbitrário	Crítico	8.6	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N	CVE-2023-26360
Limitação incorreta de um nome de caminho para um diretório restrito ("Caminho transversal") (CWE-22)	Vazamento de memória	Importante	4.9	CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N	CVE-2023-26361

Agradecimentos

A Adobe gostaria de agradecer aos seguintes profissionais por relatarem os problemas relevantes e por trabalharem com a Adobe para ajudar a proteger os nossos clientes:

Patrick Vares (ELS-PHI) - CVE-2023-26359
Charlie Arehart e Pete Freitag - CVE-2023-26360
Dusan Stevanovic da Trend Micro - CVE-2023-26361

Requisito de JDK do ColdFusion

COLDFUSION 2021 (versão 2021.0.0.323925) e superior

Para servidores de aplicativos  

Em instalações do JEE, defina o seguinte sinalizador JVM: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", no respectivo arquivo de inicialização dependendo do tipo de servidor de aplicativos sendo usado.

Por exemplo:  

Servidor de aplicativos Apache Tomcat: edite JAVA_OPTS no arquivo "Catalina.bat/sh"

Servidor de aplicativos WebLogic: edite JAVA_OPTIONS no arquivo "startWeblogic.cmd"

Servidor de aplicativos WildFly/EAP: edite JAVA_OPTS no arquivo "standalone.conf"

Defina os sinalizadores JVM em uma instalação de JEE de ColdFusion, não em uma instalação individual.  

COLDFUSION 2018 HF1 e superior  

Para servidores de aplicativos  

Por exemplo:  

Servidor de aplicativos Apache Tomcat: edite JAVA_OPTS no arquivo "Catalina.bat/sh"

Servidor de aplicativos WebLogic: edite JAVA_OPTIONS no arquivo "startWeblogic.cmd"

Servidor de aplicativos WildFly/EAP: edite JAVA_OPTS no arquivo "standalone.conf"

Defina os sinalizadores JVM em uma instalação de JEE de ColdFusion, não em uma instalação individual.  

Revisões

14 de março de 2023: impacto da vulnerabilidade revisado para CVE-2023-26360

Para mais informações, acesse https://helpx.adobe.com/br/security.html ou envie um email para PSIRT@adobe.com

Receba ajuda com mais rapidez e facilidade

Novo usuário?