Une vulnérabilité sur Adobe ColdFusion pourrait permettre l'exécution de code arbitraire

L’équipe de développement d’Adobe a publié le 1er mars 2019 un bulletin de sécurité corrigeant la vulnérabilité identifiée CVE-2019-7816, concernant le logiciel Adobe ColdFusion. Celle-ci est considérée comme critique.

Adobe ColdFusion est une plateforme de développement d’applications en ligne. Un attaquant pourrait exploiter la vulnérabilité de contournement de restriction de téléchargement de fichier affectant ce produit afin d’exécuter du code arbitraire dans le contexte de l’application concernée. L’impact estimé sur la confidentialité et l’intégrité des données pour cette vulnérabilité est élevé.

Adobe informe également que cette vulnérabilité fait déjà l'objet d'une exploitation.

Détails techniques :

CVE-2019-7816 [CVSS : 7.5] Un attaquant pourrait télécharger du code exécutable dans un répertoire accessible sur l'Internet, puis exécuter ce code arbitraire via une requête HTTP. L’exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant de bénéficier des privilèges associés à l’application affectée. A l'aide de ces privilèges, il est en mesure d’installer des programmes, d’afficher, de modifier ou de supprimer des données mais également de créer de nouveaux comptes avec tous les droits d'utilisateur.

Pour mener à terme son attaque, l'attaquant doit respecter les conditions suivantes :

  1. L’attaquant doit créer un fichier exécutable contenant le code arbitraire et le téléverser sur l’application en exploitant la vulnérabilité de contournement de restriction de téléchargement de fichier ;
  2. Une requête HTTP permettant l'exécution du fichier doit être envoyée sur le système de l’application cible pour en prendre le contrôle.

Afin de se protéger contre cette vulnérabilité, il est recommandé de faire les mises à jour rapidement. La priorité de mise à jour est évaluée à 1 par Adobe, ce qui signifie qu’une future exploitation est probable et qu’il est recommandé d'appliquer les correctifs dans un délai de 72 heures.

Informations
+

Risques

  • Atteinte à la confidentialité des données
  • Exécution de code arbitraire

Criticité

  • Score CVSS : 7.50

Existence d’un code d’exploitation de la vulnérabilité

  • Il n'existe pas de code publiquement disponible pour exploiter cette vulnérabilité.

Composants & versions vulnérables

  • ColdFusion 2018 mise à jour 2 et versions antérieures
  • ColdFusion 2016 mise à jour 9 et versions antérieures
  • ColdFusion 11 mise à jour 17 et versions antérieures

CVE

  • CVE-2019-7816

Recommandations
+

Mise en place de correctif de sécurité

  • Les correctifs sont portés par les mises à jour 3 (ColdFusion 2018), 10 (ColdFusion 2016) et 18 (ColdFusion 11).

Solution de contournement

  • Il est possible de restreindre les requêtes aux répertoires où sont stockés les fichiers téléchargés (le fichier exécutable) et de limiter les droits utilisateurs de l'application sur le système afin d'atténuer ce type d'attaque.