Adobe waarschuwt klanten voor niet-gecrackte kritieke fout in ColdFusion

Adobe heeft gebruikers van zijn ColdFusion-applicatieserverplatform gewaarschuwd voor een kritisch beveiligingslek dat ongeautoriseerde gebruikers toegang zou kunnen geven tot gevoelige bestanden die zijn opgeslagen op hun servers.

Het beveiligingslek wordt geïdentificeerd als CVE- 2013-3336 en beïnvloedt ColdFusion 10, 9.0.2, 9.0.1, 9.0 en eerdere versies voor Windows, Mac en Unix, zei Adobe in een op woensdag gepubliceerd advies.

Het bedrijf crediteerde Marcin Siedlarz van het Security Response-team van Symantec met het probleem melden. "Er zijn berichten dat een exploit voor dit beveiligingslek openbaar beschikbaar is", zei Adobe.

[Lees meer: ​​Hoe malware van uw Windows-pc te verwijderen]

Het bedrijf werkt aan een oplossing en verwacht deze openbaar te maken op 14 mei. Tot dan wordt klanten geadviseerd om de toegang van het publiek tot bepaalde gevoelige mappen zoals CFIDE / administrator, CFIDE / adminapi en CFIDE / getting start te beperken.

Informatie over het beperken van de toegang tot deze mappen wordt gegeven in de ColdFusion 9 Lockdown Gids en ColdFusion 10 Gids voor afsluiten. Klanten die hun ColdFusion-installaties hebben verhard volgens de richtlijnen in deze technische documenten zijn al beschermd tegen CVE-2013-3336, zei Adobe.

Hoewel het niet zo vaak wordt gebruikt als sommige andere Adobe-producten, is ColdFusion het doelwit van hackers in het verleden. In april meldde virtueel privé serverhostingbedrijf Linode dat hackers toegang kregen tot zijn webserver en klantendatabase door gebruik te maken van een voorheen onbekend ColdFusion-probleem.

In januari gaf Adobe een beveiligingsadvies aan klanten over vier voorheen onbekende ColdFusion-kwetsbaarheden actief worden uitgebuit door aanvallers. De aanbevolen beperkingsstappen op dat moment betroffen ook het uitschakelen van externe toegang tot de mappen / CFIDE / administrator en / CFIDE / adminapi.