ColdFusion

Die Schwachstelle betrifft Adobe ColdFusion, eine Plattform zur Entwicklung und zum Betrieb von Webanwendungen. Sie tritt in Installationen auf, bei denen kein Passwort konfiguriert ist – also der Zugang nicht durch ein Kennwort abgesichert wurde. Unter dieser Voraussetzung kann ein Angreifer aus der Ferne auf eigentlich gesperrte, eingeschränkte Verzeichnisse zugreifen, auf die er regulär keinen Zugriff haben dürfte. Es handelt sich um eine Directory-Traversal-Lücke: Über manipulierte Zugriffe lässt sich der vorgesehene Verzeichnisbereich verlassen und auf geschützte Ablageorte des Systems zugreifen. Die genauen Angriffswege sind nicht näher spezifiziert; eine vorherige Anmeldung ist nicht erforderlich. Auf diese Weise kann ein nicht autorisierter Nutzer an Inhalte gelangen, die normalerweise vor dem Zugriff geschützt sind – etwa interne Dateien oder Konfigurationsdaten der betroffenen Installation. Die Lücke wurde nach vorliegenden Angaben bereits aktiv ausgenutzt.