Die Schwachstelle betrifft die Applikationsserver-Software ColdFusion und beruht auf einer unzureichenden Beschränkung von Pfadangaben auf ein zugelassenes Verzeichnis – einem sogenannten Path-Traversal-Fehler. Weil die Software eingegebene Pfade nicht ausreichend prüft, kann ein Angreifer über manipulierte Verzeichnisangaben aus dem eigentlich vorgesehenen Zugriffsbereich ausbrechen. Dadurch lässt sich lesend auf beliebige Dateien und Verzeichnisse des Systems zugreifen, auch auf solche außerhalb des vorgesehenen Rahmens; zusätzlich besteht ein eingeschränkter Schreibzugriff auf das Dateisystem. Auf diese Weise gelangt ein Angreifer an vertrauliche Dateien und Verzeichnisse, die eigentlich geschützt sein sollten. Der Angriff kommt ohne jede Benutzerinteraktion aus. Erschwerend kommt hinzu, dass sich der Wirkungsbereich des Angriffs ausweitet (Scope Changed): Die Auswirkungen bleiben nicht auf die verwundbare Komponente beschränkt, sondern können sich auf andere Bereiche des Systems erstrecken.
Erwähnt in
Artikel und Wochenreports, die diese Schwachstelle behandeln- Artikel Adobe schließt mehrere kritische Lücken in ColdFusion und Campaign Classic 01.07.2026
- Artikel Adobe schließt kritische Lücken in ColdFusion und Campaign Classic 01.07.2026