As atualizações do Patch Tuesday da Adobe de setembro de 2018 abordaram uma importante vulnerabilidade de escalonamento de privilégios (CVE-2018-15967) no Adobe Flash Player 30.0.0.154 e versões anteriores. A exploração bem-sucedida da falha pode levar à divulgação de informações.
“Adobe has released security updates for Adobe Flash Player for Windows, macOS, Linux and Chrome OS. These updates address an important vulnerability in Adobe Flash Player 30.0.0.154 and earlier versions. Successful exploitation could lead to information disclosure.” reads the security advisory published by Adobe.
A versão 31.0.0.108 aborda a falha CVE-2018-15967, o problema foi classificado como “importante” com uma classificação de prioridade 2, o que indica que a probabilidade de ser explorado é muito baixa.
As nove vulnerabilidades restantes afetam o Adobe ColdFusion 6, classificas como críticas.
The remaining nine vulnerabilities affected Adobe ColdFusion 6 of which are rated as critical (4 Deserialization of untrusted data, 1 Unrestricted file upload, and 1 issue related to the use of a component with a known vulnerability).
As falhas de segurança afetam o ColdFusion 11, 2016 e 2018, e a Adobe emitiu instruções de atualização para cada versão.
As falhas críticas podem ser exploradas para execução de código arbitrário e substituição arbitrária de ficheiros.
Outras duas falhas no ColdFusion foram classificadas como “importantes”, um invasor pode explorá-las para criar pastas arbitrárias e obter listas de diretórios.
O Adobe ColdFusion também é atualmente afetado por uma vulnerabilidade de divulgação de informações, classificada com gravidade moderada e que foi introduzida pelo uso de um componente com uma falha conhecida.