ColdFusion

Die Schwachstelle steckt in Adobe ColdFusion, einer Plattform für die Entwicklung und den Betrieb von Webanwendungen. Der Defekt liegt in der Funktion zum Hochladen von Dateien: ColdFusion schränkt nicht ausreichend ein, welche Art von Dateien hochgeladen werden darf. Dadurch kann ein Angreifer Dateien mit beliebigem, von ihm gewähltem Inhalt auf den Server bringen – etwa ausführbaren Programmcode statt eines harmlosen Dokuments. Gelingt es, eine solche Datei anschließend auf dem Server zur Ausführung zu bringen, kann der Angreifer eigenen Code auf dem System ausführen. Damit erlangt er Kontrolle über die betroffene Anwendung und potenziell über den darunterliegenden Server. Betroffen sind Installationen von Adobe ColdFusion. Da ColdFusion-Server typischerweise als Webanwendung aus dem Internet erreichbar sind, ist die Upload-Funktion ein besonders exponierter und für Angreifer attraktiver Einstiegspunkt.