CVE-2017-3066
CVE-2017-3066
En resumen
Adobe ColdFusion contiene un defecto en cómo procesa objetos Java serializados de la biblioteca Apache BlazeDS, permitiendo que atacantes ejecuten código arbitrario en el servidor sin autenticación.
Detalle técnico
Una vulnerabilidad de deserialización Java (CWE-502) en Apache BlazeDS permite que atacantes remotos instancien objetos arbitrarios al enviar datos serializados malformados a versiones vulnerables de ColdFusion, resultando en ejecución de código remoto no autenticada.
Resumen generado y traducido por IA a partir de la descripción oficial.
Adobe ColdFusion 2016 Update 3 and earlier, ColdFusion 11 update 11 and earlier, ColdFusion 10 Update 22 and earlier have a Java deserialization vulnerability in the Apache BlazeDS library. Successful exploitation could lead to arbitrary code execution.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
n/a · Adobe ColdFusion ColdFusion 2016 Update 3 and earlier, ColdFusion 11 update 11 and earlier, ColdFusion 10 Update 22 and earlierPoCs públicas encontradas — 4
githubgithub.com/codewhitesec/ColdFusionPwn★ 96githubgithub.com/cucadili/CVE-2017-3066★ 2cve_referencewww.exploit-db.com/exploits/43993/no verificadoexploitdbwww.exploit-db.com/exploits/43993no verificado⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →