Adobe исправила RCE-уязвимость в ColdFusion

25 сентября 2019 г., среда

Критический баг в платформе для разработчиков позволял злоумышленнику выполнить скрипт в рамках системы.

Компания Adobe исправила три серьезные уязвимости в платформе быстрой разработки ColdFusion. Два бага имеют критический уровень опасности и допускают удаленное выполнение кода, а также обход механизмов контроля доступа. Оставшийся недостаток оценен как важный и связан с возможностью несанкционированного раскрытия информации.

Проблемы затрагивают обе актуальные версии продукта и закрыты в релизах ColdFusion 2018 Update 5 и ColdFusion 2016 Update 12.

По мнению специалистов, наибольшую угрозу представляет баг, зарегистрированный как CVE-2019-8073. Ошибка связана с возможностью внедрения сторонних команд в уязвимые модули платформы, что позволяет киберпреступнику запустить вредоносный скрипт на целевой машине. Adobe поблагодарила команду ИБ-аналитиков Badcode of Knownsec 404 за помощь в обнаружении этой уязвимости.

Другую критическую ошибку в ColdFusion — CVE-2019-8073 — нашел эксперт компании Aura Information Security Даниэль Андерхей (Daniel Underhay). Уязвимость обхода пути позволяет злоумышленнику миновать механизмы контроля доступа к платформе и перехватить управление системой. По сообщению разработчика, помощь в исследовании этой проблемы оказали специалисты компаний Techlegalia и Foundeo.

Баг в Adobe ColdFusion может стать причиной утечки данных

Чуть менее опасна уязвимость CVE-2019-8072, выявленная ИБ-аналитиком Питом Фрейтэгом (Pete Freitag). Баг связан с возможностью обхода защитных механизмов ColdFusion, приводящего к несанкционированному раскрытию конфиденциальных данных.

Вендор рекомендует владельцам уязвимых систем как можно скорее установить апдейты, обновленные версии обоих вариантов платформы доступны на сайте Adobe. В целях безопасности разработчик пока не раскрывает технические детали выявленных недостатков.

В начале марта Adobe выпустила патч для критического бага, связанного с возможностью выполнения стороннего кода в среде ColdFusion. Как выяснили эксперты, злоумышленник мог загрузить вредоносный скрипт в один из каталогов на сервере платформы и удаленно запустить его, используя HTTP-запрос.

Threatpost