Adobe reconoce que se están explotando vulnerabilidades de ColdFusion

Adobe ha advertido a los usuarios de ColdFusion, su software para servidores de aplicaciones, de que los hackers están explotando vulnerabilidades no parcheadas del producto que podrían llevar a tomar el control de los servidores afectados.

El pasado viernes la compañía publicó un aviso de seguridad en el que informaba sobre tres vulnerabilidades críticas identificadas como CVE-2013-0625, CVE-2013-0629 y CVE-2013-063 y que afectan a ColdFusion 10, 9.0.2, 9.0.1 y 9.0.

El fallo CVE-2013-0625 se puede explotar superando los controles de autenticación y tomando el control del servidor ColdFusion; la vulnerabilidad CVE-2013-0629 puede permitir que los usuarios no autorizados accedan a directorios restringidos en un servidor vulnerable, mientras que el fallo CVE-2013-0631 puede provocar que se revele información.

En ese mismo aviso de seguridad Adobe reconoce que existen varios informes que indican que estas tres vulnerabilidades se están explotando y que las vulnerabilidades identificadas como CVE-2013-0625 y CVE-2013-0629 sólo afectan a los clientes de ColdFusion que no tienen habilitada la protección de contraseñas.

La compañía está trabajando para desarrollar parches para estas vulnerabilidades y espera lanzarlos el próximo 15 de enero. Hasta entonces, los clientes pueden realizar una serie de acciones que reduzcan los riesgos asociados con estos fallos.

Entre los pasos que se pueden dar para limitar los efectos de las vulnerabilidades, Adobe recomienda la de configurar un nombre de usuario y contraseña que sea diferente del utilizado por la cuenta de Administrador para los servicios RDS (Remote Development Services); otra medida es deshabilitar el RDS, así como desactivar el acceso externo a los directorios /CFIDE/administrator, /CFIDE/adminapi and /CFIDE/componentutils para todos los sitios. Adobe también recomienda eliminar los componentes o plantillas de ColdFusion innecesarios de los directorios raíz o CFIDE, además de implementar restricciones de control de acceso para el interfaz de Administrador y aplicaciones internas.

Instalar todos los parches de ColdFusion disponibles y hacer un seguimiento de las mejores prácticas de seguridad publicadas hasta el momento para ColdFusion 9 y ColdFusion 10 son otros de los consejos de Adobe.

ITespresso Redacción

La redacción de ITespresso está compuesta por periodistas especializados en Tecnologías de la Información y Comunicaciones.

Recent Posts

Google paga 5.000 millones de dólares para resolver una demanda colectiva

Los usuarios denunciaban que la compañía los había rastreado incluso cuando usaban el modo privado…

11 meses ago

Las pymes valencianas pueden optar a ayudas de 5,5 millones de euros por proyectos de I+D

El Instituto Valenciano de Competitividad Empresarial financiará aquellas iniciativas que puedan solucionar incertidumbres científicas o…

11 meses ago

La guerra entre Israel y Gaza no acobarda a los inversores extranjeros de startups

Solo en el cuarto trimestre las empresas emergentes del país han levantado 1.500 millones de…

11 meses ago

Navarra ya cuenta con más de 80 startups

La región tiene 13 scaleups y destaca por sus empresas emergentes de salud y agrotech.

11 meses ago

Las startups valencianas progresaron adecuadamente en 2023

Valencia ha atraído en el primer semestre del año 30 millones de euros de inversión…

11 meses ago

El New York Times acusa a Open AI y Microsoft de infringir sus derechos de autor

El diario estadounidense demanda a las dos compañías tecnológicas por haber usado sus contenidos para…

11 meses ago