Die Schwachstelle betrifft ColdFusion und beruht auf einer unzureichenden Prüfung von Eingabedaten (Improper Input Validation). Dadurch kann es zur Ausführung von beliebigem Code im Kontext des aktuell angemeldeten Benutzers kommen. Ein Angreifer kann über diese Lücke schädliche Skripte in eine Webseite einschleusen und sich auf diesem Weg erweiterten Zugriff verschaffen oder die Kontrolle über das Konto beziehungsweise die Sitzung des Opfers übernehmen. Die Ausnutzung setzt allerdings eine Mitwirkung des Opfers voraus: Dieses muss eine vom Angreifer präparierte Datei öffnen. Da sich der Wirkungsbereich der Lücke ändert (Scope Changed), kann sich ein erfolgreicher Angriff über die ursprünglich betroffene Komponente hinaus auf weitere Bereiche mit anderen Rechten auswirken – die Folgen bleiben also nicht auf den unmittelbar angegriffenen Teil beschränkt.
Erwähnt in
Artikel und Wochenreports, die diese Schwachstelle behandeln- Artikel Adobe schließt kritische Lücken in ColdFusion und Campaign Classic 01.07.2026