ColdFusion es una tecnología de desarrollo de aplicaciones en servidores Web que Adobe adquirió tras la compra de la antigua Macromedia. Esta tecnología se puede utilizar en servidores Mac OS X, al igual que en servidores Windows y Linux/UNIX.
Esta semana pasada se hizo pública una vulnerabilidad que permitía realizar ataque de Directory Transversal en servidores ColdFusion, es decir, vagabundear por el sistema de ficheros. Los servidores son fácilmente encontrables a través de sencillas búsquedas en Google como:
– CFIDE «adminapi»
– CFIDE «Administrator»
– CFIDE «ComponentUtils»
– CFIDE «Wizards»
Sin embargo, el problema va mucho más allá. Al haberse descubierto el acceso a estos directorios, también se ha descubierto que muchos de ellos no están protegidos con listas de control de acceso, lo que permite a cualquier usuario la posibilidad de subir ficheros.
Adobe no se ha tomado a la ligera la vulnerabilidad y la ha catalogado de importante, solicitando por favor que todos los que tengan instalada una versión vulnerable, a saber: ColdFusion 8.0, 8.0.1, 9.0, 9.0.1 para Windows, Macintosh and UNIX, que por favor instalen el Hotfix que han publicado.
La creación del exploit no se ha hecho esperar y ya en exploit-db se encuentra publicada una versión funcional para sacar partido de esta vulnerabilidad.
Via:Seguridad Apple
