Avis du CERTA : Vulnérabilité du produit Adobe ColdFusion
novembre 2007 par CERT-FR
1 Risque
* Contournement de la politique de sécurité ;
* atteinte à la confidentialité des données.
2 Systèmes affectés
* Adobe ColdFusion 7 MX ;
* Adobe ColdFusion 8.
3 Description
Une vulnérabilité a été découverte dans les produits Adobe ColdFusion. Cette
vulnérabilité est due à une mauvaise gestion des jetons CFID et CFTOKEN,
permettant à un utilisateur malveillant de détourner les sessions des
utilisateurs légitimes.
4 Solution
Se référer au bulletin de sécurité de l’éditeur pour l’obtention du correctif
KB402805 (cf. section Documentation).
5 Documentation
* Bulletin de sécurité Adobe apsb07-19 du 13 novembre 2007 :
http://www.adobe.com/support/security/bulletins/apsb07-19.html
* Téléchargement de la mise à jour KB402805 :
http://www.adobe.com/go/kb402805
* Référence CVE CVE-2007-5905 :