2018-0683: Adobe ColdFusion: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2018-04-11 13:23)

Neues Advisory

Betroffene Software

Entwicklung

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Eine Schwachstelle in Adobe ColdFusion ermöglicht einem lokalen, einfach authentisierten Angreifer die Eskalation von Privilegien. Eine als kritisch eingestufte Schwachstelle ermöglicht einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes. Drei weitere Schwachstellen ermöglichen dem Angreifer in einem Cross-Site-Scripting (XSS)- bzw. in einem XML External Entity (XXE)-Angriff das Ausspähen von Informationen. Die XXE-Schwachstelle wird von Adobe ebenfalls als kritisch kategorisiert.

Adobe informiert über die Schwachstellen in ColdFusion 11 und 2016 und veröffentlicht ColdFusion 11 Update 14 und 2016 Update 6 als Sicherheitsupdates zur Behebung der Schwachstellen.

Schwachstellen:

CVE-2018-4938

Schwachstelle in Adobe ColdFusion ermöglicht Privilegieneskalation

CVE-2018-4939

Schwachstelle in Adobe ColdFusion ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-4940

Schwachstelle in Adobe ColdFusion ermöglicht Cross-Site-Scripting-Angriff

CVE-2018-4941

Schwachstelle in Adobe ColdFusion ermöglicht Cross-Site-Scripting-Angriff

CVE-2018-4942

Schwachstelle in Adobe ColdFusion ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.