ColdFusion

Die Schwachstelle betrifft Adobe ColdFusion, eine Plattform zur Entwicklung und zum Betrieb von Webanwendungen. Sie tritt auf, wenn für die Verwaltung kein Passwort eingerichtet wurde – in dieser Konstellation lässt sich die Anmeldung umgehen. Ein Angreifer kann den Defekt aus der Ferne ausnutzen, ohne über gültige Zugangsdaten zu verfügen: Er umgeht die Authentifizierung und verschafft sich auf diesem Weg administrativen Zugriff auf das System. Darüber hinaus besteht die Möglichkeit, beliebigen Code auszuführen und so eigene Befehle auf dem Server einzuschleusen. Der genaue technische Weg der Ausnutzung ist nicht näher beschrieben. Betroffen sind Installationen, bei denen die Administrationsoberfläche ohne gesetztes Passwort betrieben wird; gerade solche aus dem Internet erreichbaren Systeme bieten einem unauthentifizierten Angreifer einen unmittelbaren Zugang zur vollständigen Kontrolle über die Anwendung und den darunterliegenden Server.