Vous êtes sur le site public du Cert-IST
Problème dans l'environnement restreint de ColdFusion

Date :07 Juillet 2005

Publication: Article

Un problème a été découvert dans la gestion de l'environnement restreint (Advanced Security Sandbox) et du tag "<CFEXECUTE>" (tag permettant l'exécution de processus sur le serveur web) sous la suite web Coldfusion sous Windows.

Ainsi, si un site web utilise conjointement la fonction "Advanced Security Sandbox" et le tag "<CFEXECUTE>" alors l'exécution du processus lancé le tag ne se fera pas dans l'environnement restreint mais avec les privilèges du serveur web (privilèges "SYSTEM").

Aucun correctif n'est cependant prévu et Allaire recommande de vérifier la présence du tag "<CFEXECUTE>" dans les applications utilisant l'environnement restreint et de le désactiver le cas échéant.

Versions de ColdFusion vulnérables :

  • ColdFusion 4.5 Enterprise Edition on Windows

  • ColdFusion 5 Enterprise Edition on Windows

Avis de Allaire : http://www.allaire.com/Handlers/index.cfm?ID=22237