ColdFusion

Die Schwachstelle betrifft die Webanwendungsplattform ColdFusion von Adobe. Sie beruht auf der Verarbeitung nicht vertrauenswürdiger Daten, die der Server beim sogenannten Deserialisieren – dem Zurückverwandeln übermittelter Daten in interne Objekte – ungeprüft annimmt. Zusätzlich besteht eine unzureichende Zugriffskontrolle. In Kombination kann ein Angreifer aus der Ferne präparierte Daten an den Server schicken und dadurch eigenen Programmcode zur Ausführung bringen. Dieser Code läuft im Kontext des aktuellen Benutzers, unter dem der ColdFusion-Dienst betrieben wird, sodass der Angreifer dessen Rechte auf dem System übernimmt. Ein Eingreifen oder Mitwirken eines legitimen Nutzers ist dabei nicht erforderlich – der Angriff funktioniert ohne jede Benutzerinteraktion. Betroffen sind Server, auf denen ColdFusion läuft; da solche Anwendungsserver häufig direkt aus dem Internet erreichbar sind, ist die Lücke ein unmittelbar nutzbarer Angriffspunkt für eine vollständige Übernahme.