Adobe : Présence de multiples vulnérabilités dans Adobe ColdFusion

Adobe a publié des mises à jour de sécurité pour son produit ColdFusion, utilisé pour concevoir des applications et des sites Web. Ces mises à jour concernent la version 11 ainsi que l’édition 2016 et corrigent plusieurs vulnérabilités :

  • Une vulnérabilité critique de mauvaise restriction des entités externes XML (CVE-2017-11286)
  • Une injection de code indirecte à distance (XSS) (CVE-2017-11285) de criticité importante.
  • Une vulnérabilité critique affectant la désérialisation des objets java pouvant provoquer une exécution de code arbitraire à distance (CVE-2017-11283, CVE-2017-11284).
Informations
+

Impact

  • Exécution de code arbitraire à distance
  • Atteinte à la confidentialité des données

Criticité

  • Importante

Existence d’un code d’exploitation de la vulnérabilité

Aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • ColdFusion édition 2016 Update 4 et versions antérieures
  • ColdFusion 11 Update 12 et versions antérieures

CVE

  • CVE-2017-11283
  • CVE-2017-11284
  • CVE-2017-11285
  • CVE-2017-11286

Recommandations
+

Correctifs

Adobe a publié 2 mises à jour pour les 2 versions affectées :

Solution de contournement

Il n’existe pas actuellement de solution de contournement.