Les mises à jour disponibles pour les versions 10 et 11 d’Adobe ColdFusion corrigent une vulnérabilité de sécurité critique qui pourrait conduire au vol d'informations sensibles lors de l'analyse d'entités XML spécialement conçues. Les administrateurs sont invités à mettre à jour leurs déploiements ColdFusion vers la version 10v21 ou 11v10 10, selon la mouture qu'ils utilisent. La version ColdFusion 2016 n'est pas affectée, a déclaré Adobe dans un avis de sécurité.
La vulnérabilité a été signalée à Adobe par un chercheur en sécurité nommé Dawid Golunski, et l'éditeur n'a pas connaissance d'attaques qui exploiteraient déjà cette faille. ColdFusion est une plateforme de création et de support d'applications web interactives utilisant le langage de script CFML. Elle est populaire dans le monde de l'entreprise parce qu'elle permet le développement rapide d'applications.
Des failles exploitées dans le passé
Les serveurs ColdFusion ont été la cible d'attaquants dans le passé. En 2013, des chercheurs ont signalé une attaque au cours de laquelle des pirates ont exploité une vulnérabilité ColdFusion pour installer des logiciels malveillants sur des serveurs Microsoft IIS. La même année, une société d'hébergement de serveurs appelée Linode a été compromise par une faille propre à ColdFusion, et Adobe a émis deux avis sur les vulnérabilités du serveur d'applications web qui étaient exploitées par des attaquants.
Commentaire