Adobe Systems prépare pour le 15 janvier des correctifs pour trois failles affectant son serveur d'applications ColdFusion, utilisé pour créer et déployer des sites web. L'éditeur a averti en fin de semaine dernière que ces vulnérabilités (numérotées CVE-2013-0625, CVE-2013-0629 et CVE-2013-0631) sont exploitées par des hackers pour prendre le contrôle des serveurs concernés. Ce problème touche les versions 10, 9.0.2, 9.0.1 et 9.0 de ColdFusion.

La faille CVE-2013-0625 permet de contourner les procédures d'authenfication, CVE-2013-0629 laisse des utilisateurs non autorisés se servir d'annuaires à accès restreint et CVE-2013-0631 peut causer le vol de données.

Selon le bulletin publié par Adobe, les deux premières vulnérabilités n'affectent que les utilisateurs de ColdFusion n'ayant pas mis en place de protection par mot de passe ou ne s'en servant pas. Avant la livraison des correctifs prévus, Adobe indique dans son bulletin une procédure à suivre pour réduire les risques.