ColdFusion

Die Schwachstelle betrifft Adobe ColdFusion, eine Plattform zur Entwicklung und zum Betrieb von Webanwendungen. Ursache ist eine fehlerhafte Zugriffskontrolle: Eine Funktion prüft nicht ausreichend, ob ein Zugriff überhaupt erlaubt ist. Dadurch kann ein Angreifer lesend auf das Dateisystem des Servers zugreifen und Dateien einsehen, die eigentlich geschützt sein sollten – darüber hinaus lassen sich beschränkte Dateien auch verändern. Der Angriff erfordert keinerlei Mitwirkung eines Benutzers und kann unmittelbar erfolgen. Voraussetzung ist allerdings, dass das Administrationspanel von ColdFusion aus dem Internet erreichbar ist; nur über diese exponierte Verwaltungsoberfläche lässt sich die Lücke ausnutzen. Betroffen sind Server, deren Admin-Panel öffentlich zugänglich ist. Da Angreifer auf diesem Weg an geschützte Dateien und potenziell sensible Inhalte gelangen, eignet sich die Schwachstelle dazu, vertrauliche Informationen abzugreifen oder serverseitige Daten zu manipulieren.