En la última publicación de actualizaciones de software de Adobe correspondientes con el mes de junio de 2019, han dado a conocer un total de 11 vulnerabilidades en 3 de sus productos más utilizados (Adobe ColdFusion, Flash Player y Adobe Campaign).
De las once vulnerabilidades, tres afectan a Adobe ColdFusion, una plataforma comercial de desarrollo de páginas webs. Todas las vulnerabilidades que ha publicado Adobe con respecto a ColdFusion son críticas y podrían provocar la ejecución de código arbitrario.
En esencia, las tres vulnerabilidades de ColdFusion consisten en:
- CVE-2019-7838: Una vulnerabilidad en la subida de ficheros categorizada como «omisión de la lista negra de extensión de archivo» y que puede ser explotada si el directorio de carga de archivos es accesible desde la web.
- CVE-2019-7839: Una vulnerabilidad de inyección de comandos en las ediciones ColdFusion 2016 y 2018, pero no afecta a la versión 11 de ColdFusion.
- CVE-2019-7840: Una vulnerabilidad en la deserialización de datos no confiables que pofría permitir una ejecución de código arbitrario en el sistema.
También existe una vulnerabilidad en el conocido software de Adobe, Flash Player. En este CVE-2019-7845, Adobe alerta que esta vulnerabilidad crítica podría permitir también la ejecución de código arbitrario en las versiones afectadas. Los productos afectados son:
- Adobe Flash Player Desktop Runtime en su versión 32.0.0.207 y afecta a Microsoft Windows, macOS y GNU/Linux.
- Adobe Flas PLayer for Google Chrome en su versión 32.0.0.207 y afecta a Microsoft Windows, macOS, GNU/Linux y ChromeOS
- Adobe Flas Player for Microsoft Edge and Internet Explorer 11 en su versión 32.0.0.207 y que afecta a Microsft Windows 8.1 y Windows 10.
Cabe destacar que,el caso de la versión de Adobe Flash Player que afecta a Microsoft Edge e Internet Explorer 11, se suma a las vulnerabilidades que se están publicando y que afectan a los navegadores de Microsoft.
Las 7 vulnerabilidades restantes pertenecen a Adobe Campaign Classic, una avanzada plataforma de gestión de campañas y marketing diversos canales. De las siete vulnerabilidades una ha sido catalogada de alta gravedad, tres han sido definidas como de importancia y las tres restantes suponen una pequeña amenaza para los usuarios tal como ha publicado Adobe.
La vulnerabilidad el CVE-2019-7850, la cual mediante un command injection permitiría la ejecución de código arbitrario en las máquinas con versiones de Adobe Campaign afectadas.
Según Security Focus, las versiones de Adobe Campaign afectadas son:
- Adobe Campaign v6.11 0
- Adobe Campaign 18.10.5 Build 8984
- Adobe Campaign 6.11 Build 8795
- Adobe Campaign 6.11 Build 8770
- Adobe Campaign 6.11 Build 8664
- Adobe Campaign 6.11 Build 8653
- Adobe Campaign 6.11 Build 8640
- Adobe Campaign 6.11 Build 8622
- Adobe Campaign 6.11 Build 8612
- Adobe Campaign 6.11 Build 8601
- Adobe Campaign 6.11 Build 8591
- Adobe Campaign 6.11 Build 8580
- Adobe Campaign 6.11 Build 8571
- Adobe Campaign 6.11 Build 8563
- Adobe Campaign 6.11 Build 8552
- Adobe Campaign 16.8 Build 8757
- Adobe Campaign 16.4 Build 8724
- Adobe Campaign 16.11 Build 8767
- Adobe Campaign 15.9
- Adobe Campaign 15.12 Build 8705
La solución planteada por Adobe es la de actualizar inmediatamente los tres software que se han visto afectados por las once vulnerabilidades aquí expuestas.
Más información en Adobe Releases Security Updates for Flash Player, ColdFusion, and Campaign
Publicado en el sitio de Segurmática el 14 de junio de 2019.