La compañía publicó el pasado 4 de enero un aviso de seguridad sobre las cuatro vulnerabilidades, identificadas como CVE-2013-0625, CVE-2013-0629, CVE-2013-0631 y CVE-2013-0632, al tiempo que comentaba que era consciente de que estos fallos habían sido explotados en ataques contra sus clientes.

Dos de las vulnerabilidades permite a los atacantes eludir las restricciones normales de autenticación de un servidor de aplicación ColdFusion para ganar acceso administrativo. Otro fallo permite a usuarios no autorizados acceder a directorios restringidos mientras que el cuarto puede divulgar información de un servidor ColdFusion comprometido. 

El pasado martes, Adobe publicaba revisiones para sus versiones 10, 9.0.2, 9.0.1 y  9.0 de ColdFusion. La compañía recomienda a sus clientes actualizar sus instalaciones utilizando las instrucciones del documento de ayuda de la respectiva versión de su servidor. Adobe clasificó estas vulnerabilidades como críticas y las calificó de prioridad 1 –la mayor disponible- de las revisiones publicadas.