Adobe advierte de una vulnerabilidad crítica en ColdFusion

Adobe ha hecho un llamamiento a sus usuarios advirtiéndoles de que ColdFusion, su plataforma de servidor de aplicaciones tiene una vulnerabilidad que permitiría que usuarios no autorizados accedieran a archivos sensibles almacenados en sus servidores.

Identificada como CVE-2013-3336, la vulnerabilidad afecta a ColdFusion 10, 9.0.2, 9.0.1, 9.0 y versiones anteriores para Windows, Macintosh y Unix, ha explicado la compañía en un aviso.

Lo peor del tema es que ya hay un exploit disponible en internet que se está utilizando para explotar la vulnerabilidad y sobre el que ha informado Symantec.

Adobe trabaja para lanzar un parche, pero no parece que vaya a estar listo hasta el próximo 14 de junio. Hasta entonces se recomienda a los usuarios que restrinjan el acceso a directorios más sensibles, “como CFIDE/administrator, CFIDE/adminapi y CFIDE/gettingstarted”.

La información acerca de cómo restringir el acceso a estos directorios está disponible en las guías de ColdFusion 9 Lockdown y ColdFusion 10 Lockdown, donde se explican las mejores prácticas de seguridad para la plataforma.

Esta vulnerabilidad que afecta a ColdFusion sigue a otras dos que se detectaron a primeros del mes pasado y que permitían una escalada de privilegios en las cuentas de los usuarios.