Adobe memperingatkan pelanggan tentang cacat kritis yang belum dicoba di ColdFusion

Adobe telah memperingatkan pengguna tentang platform server aplikasi ColdFusion-nya tentang kerentanan kritis yang dapat memberi pengguna tidak sah akses ke file sensitif yang disimpan di server mereka.

Kerentanan diidentifikasi sebagai CVE- 2013-3336 dan mempengaruhi ColdFusion 10, 9.0.2, 9.0.1, 9.0 dan versi sebelumnya untuk Windows, Mac, dan Unix, Adobe mengatakan dalam sebuah saran yang diterbitkan Rabu.

Perusahaan ini memuji Marcin Siedlarz dari tim Respons Keamanan Symantec dengan melaporkan masalah ini. “Ada laporan bahwa eksploitasi untuk kerentanan ini tersedia untuk umum,” kata Adobe.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Perusahaan sedang memperbaiki dan berharap untuk merilisnya secara publik pada 14 Mei. Sampai saat itu, pelanggan disarankan untuk membatasi akses publik ke direktori sensitif tertentu seperti CFIDE / administrator, CFIDE / adminapi dan CFIDE / getstarted.

Informasi tentang cara membatasi akses ke direktori ini disediakan di ColdFusion 9 Lockdown Panduan dan ColdFusion 10 Panduan Lockdown. Pelanggan yang mengeras instalasi ColdFusion mereka mengikuti panduan yang disediakan dalam dokumen teknis ini telah dilindungi terhadap CVE-2013-3336, kata Adobe.

Meskipun tidak begitu banyak digunakan seperti beberapa produk Adobe lainnya, ColdFusion telah ditargetkan oleh peretas di masa lalu. Pada bulan April, perusahaan server pribadi virtual hosting Linode melaporkan bahwa peretas memperoleh akses ke server Web dan basis data pelanggannya dengan mengeksploitasi kerentanan ColdFusion yang sebelumnya tidak diketahui.

Pada bulan Januari, Adobe mengeluarkan peringatan keamanan pelanggan tentang empat kerentanan ColdFusion yang sebelumnya tidak dikenal yang secara aktif dieksploitasi oleh penyerang. Langkah-langkah mitigasi yang direkomendasikan pada saat itu juga melibatkan penonaktifan akses eksternal ke direktori / CFIDE / administrator dan / CFIDE / adminapi.