Disponibilizado o Cumulative Hot Fix 4 for ColdFusion 8.0.1. Ao que parece foi incluídos itens de segurança. Estranho pois, não é costume agregar itens de segurança em CHFs.
De qualquer forma, atualização mais do que recomendada. Mais detalhes e download no link abaixo.
http://kb2.adobe.com/cps/529/cpsid_52915.html
A Adobe liberou ontem oficialmente o hot fix para o problema de segurança envolvendo o FCK Editor.
Mais informações em Hotfix available for potential ColdFusion 8 input sanitization issue.
Depois de detectado falhas de segurança nos conectores para upload ASP e PHP do FCKeditor, e já anunciado algum tempo, agora surge a informação de que esta falha está na versão 8.01 do ColdFusion.
PHP - GeekLog v1.4.0 FckEditor File Upload Security Vulnerability
ASP - Exploiting IIS via HTMLEncode (MS08-006)
Na versão 8.0, esta falha aparentemente não ocorre pois este recurso vinha desabilitado por padrão e não se sabe o porque na versão 8.0.1 vir habilitada.
Alex Hubner criou um post mais do que bem vindo na lista CFBrasil e vale a pena conferir.
Problema de segurança sério no CF 8.01 (by Alex Hubner - CFBRAZIL)Além disso outros sites fornecem mais informações de como se prevenir.
CF8 and FCKEditor Security threat ( by John Mason)
ColdFusion 8 FCKeditor Vulnerability ( by Pete Freitag)
Update: Post do blog, Adobe Product Security Incident Response Team:
Adobe Product Security Incident Response Team (PSIRT): Potential ColdFusion security issue
