Nuevas actualizaciones de emergencia para Adobe Coldfusion

Nuevamente, Adobe tiene que distribuir actualizaciones para Adobe Coldfusion. Deben cerrar tres agujeros de seguridad. La compañía dijo que uno de estos ataques ya ha sido explotado en algunos ataques a sistemas que ejecutan Adobe Coldfusion. Las actualizaciones están disponibles para Coldfusion 2018, 2021 y 2023 y todas vienen con el nivel de prioridad más alto. Con esta prioridad, Adobe aconseja a los administradores de TI que instalen las actualizaciones lo antes posible.

anuncio

Hace solo unos días, Adobe lanzó un parche para Coldfusion fuera del calendario habitual de actualizaciones. Esto incluía errores al deserializar datos no confiables (CVE-2023-38203, CVSS 9.8, riesgo “Crítico”). Ahora siga las correcciones de errores CVE-2023-38204, CVE-2023-3820r y CVE-2023-38206. CVE-2023-38204 permite que se ejecute código de programa arbitrario en el dispositivo. Esta brecha se considera “crítica” y tiene una puntuación CVSS de 9,8. La escala sube hasta el diez.

Los otros dos errores permiten a los atacantes eludir las medidas de seguridad. CVE-2023-38205 también es “crítico”, con CVSS 7.5: esta vulnerabilidad es una de la que Adobe tiene conocimiento y está informando como ya explotada. CVE-2023-38206 se considera peligroso “moderado” y tiene una puntuación CVSS de 5,3.

Si parchea rápido, parchee dos veces

Sin embargo, dado que Adobe ha otorgado a las tres vulnerabilidades una calificación de Clase 1, existe una alta probabilidad de que estas tres vulnerabilidades ya estén explotadas o pronto lo estarán. La compañía también recomienda que siga las recomendaciones de seguridad y las guías de apagado para cada versión de Coldfusion. Coldfusion es un servidor de aplicaciones Java que crea aplicaciones web interactivas. Hay variantes estándar y prácticas.

Adobe proporciona instrucciones de actualización con enlaces e información adicional por separado para cada versión individual:

anuncio

(s)