Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Adobe BlazeDS en ColdFusion y LiveCycle Data Services (CVE-2015-5255)

Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-20 Validación incorrecta de entrada
Fecha de publicación:
18/11/2015
Última modificación:
12/04/2025

Descripción

Adobe BlazeDS, como se utiliza en ColdFusion 10 en versiones anteriores a Update 18 y 11 en versiones anteriores a Update 7 y LiveCycle Data Services 3.0.x en versiones anteriores a 3.0.0.354175, 3.1.x en versiones anteriores a 3.1.0.354180, 4.5.x en versiones anteriores a 4.5.1.354177, 4.6.2.x en versiones anteriores a 4.6.2.354178 y 4.7.x en versiones anteriores a 4.7.0.354178, permite a atacantes remotos enviar tráfico HTTP a los servidores de la intranet a través de un documento XML manipulado, relacionado con un problema Server-Side Request Forgery (SSRF).

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:hp:xp_p9000_command_view_advanced_edition:-:*:*:*:*:*:*:*
cpe:2.3:a:hp:xp7_command_view_advanced_edition:-:*:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:*:update17:*:*:*:*:*:* 10.0 (incluyendo)
cpe:2.3:a:adobe:coldfusion:*:update6:*:*:*:*:*:* 11.0 (incluyendo)
cpe:2.3:a:adobe:livecycle_data_services:3.0:*:*:*:*:*:*:*
cpe:2.3:a:adobe:livecycle_data_services:4.5:*:*:*:*:*:*:*
cpe:2.3:a:adobe:livecycle_data_services:4.6:*:*:*:*:*:*:*
cpe:2.3:a:adobe:livecycle_data_services:4.7:*:*:*:*:*:*:*