ColdFusion

Die Schwachstelle steckt in der Web-Anwendungsplattform ColdFusion von Adobe und beruht auf der unsicheren Deserialisierung nicht vertrauenswürdiger Daten. Beim Deserialisieren werden zuvor in ein Übertragungsformat überführte Datenstrukturen wieder in Objekte zurückverwandelt. Verarbeitet die Plattform dabei von einem Angreifer kontrollierte, manipulierte Daten, ohne deren Inhalt ausreichend zu prüfen, lässt sich der Vorgang missbrauchen, um schädliche Objekte einzuschleusen. Im Ergebnis kann ein Angreifer beliebigen Code auf dem betroffenen System ausführen und so die Kontrolle über den Server übernehmen. Für den Angriff ist keinerlei Interaktion eines Benutzers erforderlich – das Opfer muss also nichts anklicken oder öffnen, was die Ausnutzung deutlich erleichtert. Betroffen sind Server, auf denen die genannte ColdFusion-Software betrieben wird; da solche Systeme häufig Webanwendungen ausliefern und aus dem Netz erreichbar sind, bilden sie ein attraktives Angriffsziel.