Nutzer von Adobe ColdFusion sollten umgehend auf die aktuellste Version updaten. Adobe hat eine kritische Sicherheitslücke geschlossen, die jetzt bereits ausgenutzt wird.
Anzeige
Adobe hat zum 1. März 2019 Notfall-Updates veröffentlicht, die eine kritische Schwachstelle für die ColdFusion Web-App-Entwicklungsplattform beheben. Der Fehler kann zur Ausführung von beliebigem Code führen und wird bereits ausgenutzt.
Das Sicherheitsproblem erlaubt es einem Angreifer, Einschränkungen beim Hochladen von Dateien zu umgehen. Um dies zu nutzen, muss der Angreifer in der Lage sein, ausführbaren Code in ein Verzeichnis von Dateien auf einem Webserver hochzuladen. Der Code kann dann über eine HTTP-Anfrage ausgeführt werden, sagt Adobe in seinem Security Bulletin APSB 19-14. Alle ColdFusion-Versionen, die nicht über die aktuellen Updates verfügen, sind von der Schwachstelle (CVE-2019-7816) betroffen, unabhängig von der Plattform.
Updated: "Urgent #ColdFusion security update released March 1 2019, for CF11/2016/2018, Part 1" https://t.co/hmBVFOeZxY (more details)
— Charlie Arehart (@carehart) 2. März 2019
Charlie Arehart, ein unabhängiger Berater, der für die Meldung der Schwachstelle verantwortlich ist, teilte Bleeping Computer mit, dass er den Fehler entdeckt hat, als er gegen einen seiner Kunden eingesetzt wurde und er den Angriff analysierte. Neben Bleeping Computer hat auch heise.de einen Artikel mit weiteren Details veröffentlicht.