Adobe предупреждает клиентов о неуправляемом критическом недостатке в ColdFusion

Adobe предупредила пользователей своей серверной платформы приложений ColdFusion о критической уязвимости, которая может дать неавторизованным пользователям доступ к конфиденциальным файлам, хранящимся на их серверах.

Уязвимость идентифицируется как CVE- 2013-3336 и влияет на версии ColdFusion 10, 9.0.2, 9.0.1, 9.0 и более ранние версии для Windows, Mac и Unix, заявила Adobe в опубликованной в среду публикации.

Компания зачислила Marcin Siedlarz из команды Symantec Security Response с сообщая о проблеме. «Есть сообщения о том, что эксплойт для этой уязвимости является общедоступным», - сказал Adobe.

[Подробнее читайте: Как удалить вредоносное ПО с вашего ПК с ОС Windows]

Компания работает над исправлением и планирует публиковать ее публично 14 мая. До тех пор клиентам рекомендуется ограничивать доступ общественности к определенным чувствительным справочникам, таким как CFIDE / administrator, CFIDE / adminapi и CFIDE / getstarted.

Информация о том, как ограничить доступ к этим каталогам, предоставляется в ColdFusion 9 Lockdown Guide и ColdFusion 10. Клиенты, которые закалили свои установки ColdFusion, следуя указаниям, приведенным в этих технических документах, уже защищены от CVE-2013-3336, сказал Adobe.

Несмотря на то, что он не так широко используется, как некоторые другие продукты Adobe, ColdFusion был нацелен хакерами в прошлое. В апреле виртуальная частная серверная компания Linode сообщила, что хакеры получили доступ к ее веб-серверу и базе данных клиентов, используя ранее неизвестную уязвимость ColdFusion.

В январе Adobe выпустила предупреждение о безопасности для клиентов о четырех ранее неизвестных уязвимостях ColdFusion, которые были активно используются злоумышленниками. Шаги по предотвращению изменения, рекомендованные в то время, также касались отключения внешнего доступа к каталогам / CFIDE / administrator и / CFIDE / adminapi.