BlazeDS

Die Schwachstelle steckt in Adobe BlazeDS, einer Komponente zum Datenaustausch zwischen Server und Flash-/Flex-Anwendungen, die in mehreren Adobe-Produkten zum Einsatz kommt – darunter LiveCycle, LiveCycle Data Services, Flex Data Services und ColdFusion. Der Defekt liegt in der Verarbeitung von XML-Dokumenten: BlazeDS wertet eingehende XML-Daten unsicher aus, sodass eingeschleuste Tags und Verweise auf externe Entitäten (External Entity References) ausgenutzt werden können. Ein Angreifer schickt dazu aus der Ferne eine präparierte Anfrage mit manipuliertem XML-Inhalt. Über diese externen Entitäten lässt sich die XML-Verarbeitung dazu bringen, auf serverseitige Inhalte zuzugreifen und sie an den Angreifer zurückzugeben. Im Ergebnis kann er ohne Anmeldung an vertrauliche Informationen gelangen. Betroffen sind alle Anwendungen, die das verwundbare BlazeDS einbinden – durch die breite Verwendung in den genannten Adobe-Produkten ist die Angriffsfläche entsprechend groß.