ColdFusion

Die Schwachstelle betrifft Adobe ColdFusion, eine Plattform zur Entwicklung und zum Betrieb von Webanwendungen. Der Fehler steckt nicht im Kern von ColdFusion selbst, sondern in der mitgelieferten Java-Bibliothek Apache BlazeDS, die für den Datenaustausch zwischen Server und Client zuständig ist. Beim Deserialisieren – also beim Zurückverwandeln empfangener, in einen Datenstrom verpackter Java-Objekte in nutzbare Objekte im Arbeitsspeicher – prüft die Bibliothek die hereinkommenden Daten nicht ausreichend. Ein Angreifer kann dadurch eigens präparierte Objekte einschleusen, die beim Entpacken Schadcode auslösen. Im Ergebnis lässt sich beliebiger Code auf dem Server ausführen, was einem Angreifer weitreichende Kontrolle über das betroffene System verschaffen kann. Betroffen sind Server, auf denen ColdFusion mit der verwundbaren BlazeDS-Komponente läuft; da solche Server häufig aus dem Netz erreichbar sind, ist die Angriffsfläche entsprechend exponiert.