A Adobe alerta os clientes sobre falhas críticas não corrigidas no ColdFusion

A Adobe alertou os usuários de sua plataforma de servidor de aplicativos ColdFusion de uma vulnerabilidade crítica que pode permitir que usuários não autorizados acessem arquivos confidenciais armazenados em seus servidores.

A vulnerabilidade é identificada como CVE. 2013-3336 e afeta ColdFusion 10, 9.0.2, 9.0.1, 9.0 e versões anteriores para Windows, Mac e Unix, Adobe disse em um comunicado publicado quarta-feira.

A empresa creditou Marcin Siedlarz da equipe Security Response da Symantec com reportando a questão. "Há relatos de que um exploit para esta vulnerabilidade está publicamente disponível", disse a Adobe.

[Leia mais: Como remover malware do seu PC Windows]

A empresa está trabalhando em uma correção e espera lançá-la publicamente em 14 de maio. Até lá, os clientes são aconselhados a restringir o acesso público a certos diretórios sensíveis como CFIDE / administrador, CFIDE / adminapi e CFIDE / gettingstarted.

Informações sobre como restringir o acesso a esses diretórios são fornecidas no ColdFusion 9 Lockdown Guia e Guia de Bloqueio do ColdFusion 10. Os clientes que endureceram suas instalações do ColdFusion seguindo as orientações fornecidas nesses documentos técnicos já estão protegidos contra o CVE-2013-3336, disse a Adobe.

Embora não seja tão usado como alguns outros produtos da Adobe, o ColdFusion tem sido alvo de hackers o passado. Em abril, a Linode informou que hackers conseguiram acessar seu servidor Web e banco de dados de clientes explorando uma vulnerabilidade do ColdFusion anteriormente desconhecida.

Em janeiro, a Adobe divulgou um aviso de segurança alertando os clientes sobre quatro vulnerabilidades do ColdFusion anteriormente desconhecidas. sendo ativamente explorada por atacantes. As etapas de mitigação recomendadas no momento também envolviam a desativação do acesso externo aos diretórios / CFIDE / administrator e / CFIDE / adminapi.