S'ha anunciat l'existència d'una vulnerabilitat a ColdFusion, que pot ser aprofitada per atacants malèvols per tal de construir atacs del tipus Cross-Site Scripting contra els visitants de les pàgines web.
La vulnerabilitat està provocada per un problema de validació d'entrades als processos per defecte de tractament d'errors. Això podrà ser explotat a través de la inclusió de codi arbitrari al camp "Referer" de la capçalera HTTP.
El lloc web serà vulnerable davant aquesta vulnerabilitat si utilitza les pàgines per defecte "ColdFusionMX Site-Wide Error Handler" o
"ColdFusionMX Missing Template Handler".
Aquesta vulnerabilitat afecta a les següents versions:
- ColdFusion MX 6.0 i 6.1 (Totes les edicions)
- ColdFusion MX 6.0 J2EE (Totes les edicions)
- ColdFusion MX 6.1 J2EE (Totes les edicions)
- ColdFusion 5.0 i versions anteriors
Macromedia ha publicat el següents pegats per tal d'eliminar la vulnerabilitat:
Per a saber més
Security Patch available for ColdFusion MX/ColdFusion cross-site scripting vulnerability with default error handlers
http://www.macromedia.com/security/.../mpsb03-06.html
|
