Le SANS note une recrudescence des compromissions de sites sous ColdFusion depuis 24 heures. Il semblerait que cela soit lié à une installation un peu ancienne, qui intégrerait une version vulnérable de l’éditeur FCKEditor ou du gestionnaire de fichiers CKFinder.

Dans les deux cas les attaquants seraient en mesure d’exécuter un script de leur choix et, potentiellement, d’utiliser une vulnérabilité locale pour prendre également le contrôle du serveur si ce dernier n’est, lui non plus, pas à jour (ce qui était le cas lors d’une attaque similaire il y a trois mois de cela).

Attention : la version vulnérable de l’éditeur aura pu être déployée par un prestataire et probablement à votre insu (après tout, on achète « un site web avec une interface de gestion de contenu »), et il n’est donc pas certain que la présence de FCKeditor – ou sa version – ne soit mentionnée quelque part.