ColdFusion

Die Schwachstelle betrifft den Anwendungsserver ColdFusion von Adobe und beruht auf der unsicheren Deserialisierung nicht vertrauenswürdiger Daten. Beim Deserialisieren wandelt die Software einen zuvor in ein Übertragungsformat überführten Datenstrom wieder in interne Objekte zurück. Versäumt sie es dabei, die hereinkommenden Daten ausreichend zu prüfen, kann ein Angreifer einen präparierten, manipulierten Datenstrom einschleusen. Verarbeitet ColdFusion diesen, lässt sich der Ablauf so verbiegen, dass beliebiger Programmcode zur Ausführung kommt. Im Ergebnis kann ein Angreifer eigenen Code auf dem betroffenen Server ausführen und sich darüber weitreichende Kontrolle verschaffen. Da ColdFusion typischerweise serverseitig Webanwendungen bereitstellt und vom Netz aus erreichbar ist, ist ein solcher Server ein exponiertes Ziel, dessen Übernahme auch die darauf laufenden Anwendungen und deren Daten gefährdet.