ColdFusion

Die Schwachstelle betrifft Adobe ColdFusion, eine Plattform zur Entwicklung und zum Betrieb von Webanwendungen. Es handelt sich um eine unzureichende Zugriffskontrolle: Eine vorhandene Sicherheitsfunktion lässt sich umgehen, sodass die eigentlich vorgesehene Beschränkung des Zugriffs nicht greift. Dadurch kann ein Angreifer auf die administrativen CFM- und CFC-Endpunkte zugreifen – also auf Schnittstellen, die der Verwaltung des Servers dienen und normalerweise besonders geschützt sein sollten. Für die Ausnutzung ist keine Interaktion eines Benutzers erforderlich; der Angriff läuft allein durch das Ansprechen der betroffenen Endpunkte ab. Wer sich auf diese Weise Zugang zur Administrationsebene verschafft, gelangt an Funktionen und Informationen, die ausschließlich Administratoren vorbehalten sein sollten, und kann so eine Grundlage für weitergehende Angriffe auf den ColdFusion-Server schaffen. Betroffen sind Installationen der genannten ColdFusion-Versionsreihen.