Die Schwachstelle betrifft ColdFusion und beruht auf einer unzureichenden Begrenzung von Pfadangaben auf ein zulässiges Verzeichnis – einem sogenannten Path-Traversal-Fehler. Dabei gelingt es einem Angreifer, mit manipulierten Pfadangaben aus dem eigentlich vorgesehenen Verzeichnis auszubrechen und auf Bereiche des Dateisystems zuzugreifen, die ihm nicht zugedacht sind. In der Folge kann er beliebigen Code im Kontext des aktuell ausführenden Benutzers ausführen und damit eigene Befehle auf dem betroffenen System unterbringen. Besonders heikel ist, dass der Angriff keinerlei Zutun eines Nutzers erfordert – er lässt sich ohne Benutzerinteraktion auslösen. Zudem ändert sich bei der Ausnutzung der Berechtigungskontext (Scope), sodass die Auswirkungen über die ursprünglich betroffene Komponente hinausreichen können. Da ColdFusion typischerweise als serverseitige Anwendungsplattform betrieben und häufig über das Netz erreichbar ist, stellt ein solcher Fehler einen unmittelbar nutzbaren Angriffsweg auf den Server dar.
Erwähnt in
Artikel und Wochenreports, die diese Schwachstelle behandeln- Artikel Adobe schließt kritische Lücken in ColdFusion und Campaign Classic 01.07.2026