Die Schwachstelle betrifft ColdFusion und beruht auf einem unzureichend abgesicherten Datei-Upload: Das Produkt lässt das Hochladen von Dateien eines gefährlichen Typs zu, ohne den Inhaltstyp ausreichend einzuschränken. Ein Angreifer kann dadurch eine Datei mit ausführbarem oder anderweitig gefährlichem Inhalt einschleusen. In der Folge lässt sich beliebiger Code im Kontext des aktuell ausführenden Benutzers ausführen, sodass der Angreifer eigene Befehle auf dem betroffenen System zur Ausführung bringen kann. Für die Ausnutzung ist keine Benutzerinteraktion erforderlich – es genügt der Zugriff auf die verwundbare Upload-Funktion, ohne dass ein Nutzer aktiv mitwirken muss. Da ColdFusion als Anwendungsserver typischerweise serverseitig betrieben wird, kann eine erfolgreiche Ausnutzung dem Angreifer weitreichenden Zugriff auf die Serverumgebung und die dort verarbeiteten Anwendungen verschaffen.
Erwähnt in
Artikel und Wochenreports, die diese Schwachstelle behandeln- Artikel Adobe schließt mehrere kritische Lücken in ColdFusion und Campaign Classic 01.07.2026
- Artikel Adobe schließt kritische Lücken in ColdFusion und Campaign Classic 01.07.2026