ColdFusion

Die Schwachstelle betrifft die Administrator-Konsole von Adobe ColdFusion, der Plattform zum Betrieb von ColdFusion-Anwendungen. In mehreren Funktionen dieser Konsole wird ein übergebener Parameter, der eigentlich die Sprach- bzw. Regionseinstellung steuern soll, nicht ausreichend geprüft. Dadurch kann ein Angreifer darin Pfadangaben unterbringen, die aus dem vorgesehenen Verzeichnis ausbrechen – ein klassischer Verzeichniswechsel (Directory Traversal). Auf diesem Weg lassen sich beliebige Dateien des Servers auslesen, etwa Konfigurationsdateien mit Zugangsdaten oder andere vertrauliche Inhalte. Der Angriff ist aus der Ferne möglich und erfordert keinen lokalen Zugriff auf das System. Betroffen sind mehrere verschiedene Eingabepunkte der Verwaltungsoberfläche, sodass es nicht bei einer einzelnen verwundbaren Stelle bleibt. Da die Administrator-Konsole zentrale Verwaltungsfunktionen bereitstellt, ist ihr unautorisierter Lesezugriff besonders riskant, wenn sie über das Netzwerk erreichbar ist.