ColdFusion

Die Schwachstelle steckt in Adobe ColdFusion, einer Plattform zur Entwicklung und zum Betrieb von Webanwendungen. Der Fehler liegt in der Deserialisierung nicht vertrauenswürdiger Daten: ColdFusion wandelt von außen hereingereichte, serialisierte Datenobjekte wieder in verwendbare Programmstrukturen um, ohne deren Herkunft und Inhalt ausreichend zu prüfen. Ein Angreifer kann ein speziell präpariertes Datenobjekt einschleusen, das beim Entpacken nicht nur Daten wiederherstellt, sondern eigenen Programmcode zur Ausführung bringt. Auf diese Weise lässt sich beliebiger Code auf dem betroffenen Server ausführen. Besonders heikel ist, dass der Angriff keinerlei Mitwirkung eines Benutzers erfordert – es muss also niemand auf einen Link klicken oder eine Datei öffnen. Betroffen sind Server, auf denen ColdFusion läuft; gelingt der Angriff, kann der Angreifer die Kontrolle über die Anwendung und den darunterliegenden Server erlangen.