Vulnerabilidad en Adobe BlazeDS en ColdFusion y LiveCycle Data Services (CVE-2015-5255)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
18/11/2015
Última modificación:
12/04/2025
Descripción
Adobe BlazeDS, como se utiliza en ColdFusion 10 en versiones anteriores a Update 18 y 11 en versiones anteriores a Update 7 y LiveCycle Data Services 3.0.x en versiones anteriores a 3.0.0.354175, 3.1.x en versiones anteriores a 3.1.0.354180, 4.5.x en versiones anteriores a 4.5.1.354177, 4.6.2.x en versiones anteriores a 4.6.2.354178 y 4.7.x en versiones anteriores a 4.7.0.354178, permite a atacantes remotos enviar tráfico HTTP a los servidores de la intranet a través de un documento XML manipulado, relacionado con un problema Server-Side Request Forgery (SSRF).
Impacto
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:hp:xp_p9000_command_view_advanced_edition:-:*:*:*:*:*:*:* | ||
cpe:2.3:a:hp:xp7_command_view_advanced_edition:-:*:*:*:*:*:*:* | ||
cpe:2.3:a:adobe:coldfusion:*:update17:*:*:*:*:*:* | 10.0 (incluyendo) | |
cpe:2.3:a:adobe:coldfusion:*:update6:*:*:*:*:*:* | 11.0 (incluyendo) | |
cpe:2.3:a:adobe:livecycle_data_services:3.0:*:*:*:*:*:*:* | ||
cpe:2.3:a:adobe:livecycle_data_services:4.5:*:*:*:*:*:*:* | ||
cpe:2.3:a:adobe:livecycle_data_services:4.6:*:*:*:*:*:*:* | ||
cpe:2.3:a:adobe:livecycle_data_services:4.7:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://marc.info/?l=bugtraq&m=145996963420108&w=2
- http://packetstormsecurity.com/files/134506/Apache-Flex-BlazeDS-4.7.1-SSRF.html
- http://www.securityfocus.com/archive/1/536958/100/0/threaded
- http://www.securityfocus.com/bid/77626
- http://www.securitytracker.com/id/1034210
- http://www.vmware.com/security/advisories/VMSA-2015-0008.html
- https://h20566.www2.hpe.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c05073670
- https://helpx.adobe.com/security/products/coldfusion/apsb15-29.html
- https://helpx.adobe.com/security/products/livecycleds/apsb15-30.html
- http://marc.info/?l=bugtraq&m=145996963420108&w=2
- http://packetstormsecurity.com/files/134506/Apache-Flex-BlazeDS-4.7.1-SSRF.html
- http://www.securityfocus.com/archive/1/536958/100/0/threaded
- http://www.securityfocus.com/bid/77626
- http://www.securitytracker.com/id/1034210
- http://www.vmware.com/security/advisories/VMSA-2015-0008.html
- https://h20566.www2.hpe.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c05073670
- https://helpx.adobe.com/security/products/coldfusion/apsb15-29.html
- https://helpx.adobe.com/security/products/livecycleds/apsb15-30.html