Adobe publica parches críticos para ColdFusion, Flash Player, Campaign

adobe-software-updates-june

¡Es Patch la semana del martes!

Adobe acaba de lanzar las últimas actualizaciones de software de junio de 2019 para abordar un total de 11 vulnerabilidades de seguridad en sus tres productos ampliamente utilizados Adobe ColdFusion, Flash Player y Adobe Campaign.

De estas, tres vulnerabilidades afectan a Adobe ColdFusion, una plataforma comercial rápida de desarrollo de aplicaciones web, todas críticas en gravedad, que podrían conducir a ataques arbitrarios de ejecución de código.

A continuación puede encontrar información breve sobre todos los defectos de ColdFusion recientemente parcheados:

  • CVE-2019-7838 – Esta vulnerabilidad se ha categorizado como “Anulación de la lista negra de extensión de archivo” y puede explotarse si el directorio de carga de archivos es accesible desde la web.
  • CVE-2019-7839 – Existe una vulnerabilidad de inyección de comandos en las ediciones ColdFusion 2016 y 2018, pero no afecta a ColdFusion versión 11.
  • CVE-2019-7840 – Esta falla se origina en la deserialización de datos no confiables y también conduce a la ejecución de código arbitrario en el sistema.

Además de ColdFusion, Adobe ha parcheado solo una vulnerabilidad (CVE-2019-7845) en el infame software Flash Player este mes, que también es crítico en gravedad y conduce a la ejecución de código arbitrario en el afectado Windows, macOS, Linux o sistema basado en Chrome OS.

Este error fue reportado por un investigador anónimo de seguridad cibernética a Adobe y ahora se puede reparar instalando la última versión 32 del reproductor Flash.0.0.207.

El resto 7 las fallas que Adobe parchó este mes reside en Adobe Campaign Classic (ACC), una plataforma avanzada de gestión de campañas y marketing multicanal, una de las cuales es crítica en severidad, tres han sido calificadas como importantes y otras 3 plantea poca amenaza para los usuarios.

El único defecto crítico (CVE-2019-7843) en Adobe Campaign podría permitir a los atacantes ejecutar comandos en los sistemas afectados (Windows y Linux) a través de la falla de ejecución de código arbitrario.

En el momento de escribir este artículo, la compañía no tiene conocimiento de ningún exploit in-the-wild para las vulnerabilidades que abordó hoy.

Adobe ha lanzado versiones actualizadas de los tres software vulnerables para cada plataforma afectada que los usuarios deben instalar de inmediato para proteger sus sistemas y negocios de ataques cibernéticos.