Хакер #305. Многошаговые SQL-инъекции
Разработчики Adobe выпустили экстренное обновление для устранения критической уязвимости, затрагивающей ColdFusion версий 2021 (включая 2021.0.0.323925), 2016 и 2018.
Проблема получила идентификатор CVE-2021-21087 и связана с некорректной проверкой правильности ввода (Improper Input Validation). Эксплуатация этой проблема может привести к удаленному выполнению произвольного кода.
В собственной классификации Adobe уязвимость получила класс приоритета 2, а это означает, что для проблемы пока нет известных эксплоитов, но она влияет на продукт, который исторически подвергается повышенному риску.
Разработчики подчеркивают, что необходимо также обновить ColdFusion JDK/JRE до последних версий (LTS до 1.8 и JDK до 11). Дело в том, что установка патча на ColdFusion, но без соответствующего обновления JDK, не защитит сервер.