Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Adobe ColdFusion MX File Content Disclosure Vulnérabilité

10/01/2007 09H47
Référence Secunia : SA23668  
Date de publication : 2007-01-10

Risque : Moyennement Critique. Niveau 3 sur 5.
Impact : Exposition de données sensibles
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
Adobe ColdFusion MX 7.x

Référence CVE :
CVE-2006-5858


Description :
Inge Henriksen a rapporté une vulnérabilité dans Adobe ColdFusion MX, qui pourrait être exploitée par des personnes malintentionnées pour divulguer des informations sensibles potentielles.

La vulnérabilité est causée du fait d'une erreur de validation d'entrée lors du traitement fr noms de fichiers URL-encodés. Cela pourrait être exploité pour voir des fichiers arbitraires sur la racine web via une URL construite spécifiquement avec un octet NULL doublement encodé et une extension qui est traitée par ColdFusion par ex. ".cfm".

La vulnérabilité est rapportée en version 7.0.2 tournant sur Windows IIS. Les autres versions pourraient également être affectées.


Solutions :
Appliquer le hotfix (Voir le bulletin de l'éditeur pour des détails).


Vulnérabilité découverte par :

Découvert par Inge Henriksen et rapportée via iDefense Labs.

Référence :
Adobe:
http://www.adobe.com/support/security/bulletins/apsb07-02.html

iDefense Labs:
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=466




Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.