Adobe a publié des mises à jour de sécurité pour son produit ColdFusion, utilisé pour concevoir des applications et des sites Web. Ces mises à jour concernent la version 11 ainsi que l’édition 2016 et corrigent plusieurs vulnérabilités :
- Une vulnérabilité critique de mauvaise restriction des entités externes XML (CVE-2017-11286)
- Une injection de code indirecte à distance (XSS) (CVE-2017-11285) de criticité importante.
- Une vulnérabilité critique affectant la désérialisation des objets java pouvant provoquer une exécution de code arbitraire à distance (CVE-2017-11283, CVE-2017-11284).
Informations
+
Impact
- Exécution de code arbitraire à distance
- Atteinte à la confidentialité des données
Criticité
- Importante
Existence d’un code d’exploitation de la vulnérabilité
Aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.
Composants & versions vulnérables
- ColdFusion édition 2016 Update 4 et versions antérieures
- ColdFusion 11 Update 12 et versions antérieures
CVE
- CVE-2017-11283
- CVE-2017-11284
- CVE-2017-11285
- CVE-2017-11286
Recommandations
+
Correctifs
Adobe a publié 2 mises à jour pour les 2 versions affectées :
- Pour ColdFusion (Edition 2016) : Adobe recommande d’installer la 5ème mise à jour en suivant les instructions du Tech Note : http://helpx.adobe.com/coldfusion/kb/coldfusion-2016-update-5.html
- Pour la version 11 : Adobe recommande d’installer la 13ème mise à jour suivant les instructions du Tech Note suivant : http://helpx.adobe.com/coldfusion/kb/coldfusion-11-update-13.html
Solution de contournement
Il n’existe pas actuellement de solution de contournement.