Risque
- Contournement de la politique de sécurité ;
- atteinte à la confidentialité des données.
Systèmes affectés
- Adobe ColdFusion 7 MX ;
- Adobe ColdFusion 8.
Description
Une vulnérabilité a été découverte dans les produits Adobe ColdFusion. Cette vulnérabilité est due à une mauvaise gestion des jetons CFID et CFTOKEN, permettant à un utilisateur malveillant de détourner les sessions des utilisateurs légitimes.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention du correctif KB402805 (cf. section Documentation).
Documentation
- Bulletin de sécurité Adobe apsb07-19 du 13 novembre 2007 :
http://www.adobe.com/support/security/bulletins/apsb07-19.html
- Téléchargement de la mise à jour KB402805 :
http://www.adobe.com/go/kb402805
- Référence CVE CVE-2007-5905 :
https://www.cve.org/CVERecord?id=CVE-2007-5905