CH azonosító
CH-13228Angol cím
Adobe ColdFusion updateFelfedezés dátuma
2016.05.11.Súlyosság
KözepesÖsszefoglaló
Az Adobe ColdFusion két sérülékenységet tartalmaz. A biztonsági hibák kihasználásával jogosulatlan kódfuttatásra, műveletvégrehajtásra, adatlopásra és adatmanipulációra is lehetőség adódhat.
Leírás
Az egyik biztonsági rést az okozza, hogy az alkalmazás esetenként nem ellenőrzi megfelelően a HTML-formátumú bemeneti adatokat, és a nemkívánatos kódokat le is futtatja.
A második sérülékenység pedig a hostname ellenőrzéssel hozható összefüggésbe, és biztonsági megkötések megkerülését segítheti elő speciálisan összeállított wild-card tanúsítványok esetében.
Megoldás
Telepítse az Adobe által kiadott frissítéseket (10 Update 19, 11 Update 8, 2016 Update 1).
Támadás típusa
Cross Site Scripting (XSS/CSS)Information disclosure (Információ/adat szivárgás)
Manipulation of data
System access (Rendszer hozzáférés)
execute code
Hatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Gyártói referencia: helpx.adobe.com
CVE-2016-1113 - NVD CVE-2016-1113
CVE-2016-1115 - NVD CVE-2016-1115