Especialistas en ciberseguridad reportan la detección de dos vulnerabilidades en Adobe ColdFusion, una plataforma de desarrollo rápido de aplicaciones web que usa el lenguaje de programación CFML. Acorde al reporte, la explotación exitosa de estas fallas permitiría a los actores de amenazas comprometer el sistema afectado.
A continuación se muestran breves descripciones de las vulnerabilidades reportadas, además de sus respectivas claves de identificación y puntajes asignados según el Common Vulnerability Scoring System (CVSS).
CVE-2021-40698: El uso de código potencialmente riesgoso permitiría a los hackers maliciosos remotos enviar una solicitud especialmente diseñada a la aplicación afectada y ejecutar código arbitrario en el sistema objetivo.
Esta es una vulnerabilidad de alta severidad y recibió un puntaje CVSS de 8.5/10.
CVE-2021-40699: Por otra parte, esta falla existe debido a la implementación de restricciones de acceso incorrectas. Los actores de amenazas remotos podrían evadir estas restricciones erróneas con el fin de obtener acceso no autorizado a la aplicación afectada.
La falla recibió un puntaje CVSS de 5.5/10 y se le considera un error de severidad media.
Según el reporte, las fallas detectadas residen en las siguientes versiones de ColdFusion: 2018 Update 1, 2018 Update 2, 2018 Update 3, 2018 Update 4, 2018 Update 5, 2018 Update 6, 2018 Update 7, 2018 Update 8, 2018 Update 9, 2018 Update 10, 2018 Update 11, 2018.0.0.310739, 2021 y 2021 Update 1.
Si bien las vulnerabilidades pueden ser explotadas por actores de amenazas remotos no autenticados, los expertos en ciberseguridad no han detectado intentos de explotación activa o la existencia de una variante de malware asociada al ataque. Otra buena noticia es que las fallas ya han sido abordadas, por lo que Adobe recomienda actualizar a la brevedad.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad