ColdFusion

Die Schwachstelle steckt in der Komponente administrator.cfc des Anwendungsservers Adobe ColdFusion und ermöglicht es, die Authentifizierung der Administrationsoberfläche zu umgehen. Ursache ist der RDS-Dienst (Remote Development Services), der mit einem voreingestellten leeren Passwort betrieben wird. Ein Angreifer aus der Ferne kann sich ohne gültige Zugangsdaten allein über dieses leere Standardpasswort an der RDS-Komponente anmelden. Die so erlangte Sitzung nutzt er anschließend, um auf die administrative Weboberfläche zuzugreifen – und gelangt damit unautorisiert an administrative Rechte. Darauf aufbauend lässt sich unter Umständen sogar beliebiger Code ausführen. Betroffen ist somit die zentrale Verwaltung des Servers: Wer diesen Zugang erlangt, kann Konfiguration und Anwendungen kontrollieren. Die Lücke wurde bereits aktiv für Angriffe ausgenutzt, was sie besonders relevant macht.