Sicherheitslücke in ColdFusion gemeldet

Die in Adobe ColdFusion gefundene Sicherheitslücke lässt sich für so genannte "Cross Site Scripting"-Angriffe ausnutzen. Eingaben in den name-Parameter in der Datei probe.cfm überprüft die Software nicht ausreichend, bevor diese an den Anwender zurückgegeben werden. Ein erfolgreicher Angriff ermöglicht das Ausführen beliebigen HTML- und Script-Codes in der Browser-Sitzung eines Anwenders.

Die Sicherheitslücke ist als weniger kritisch eingestuft. Für einen erfolgreichen Angriff muss der Anwender das System benutzen, auf dem Adobe ColdFusion auch gehostet wird. Die Schwachstelle ist für Version 9.0.1.274733 bestätigt. Andere Ausgaben könnten ebenfalls betroffen sein: focusecurity.org (jdo)