Sicherheitslücken in ColdFusion erlauben XSS-Angriff

Laut einer Meldung von Secunia treten die Sicherheitslücken in Version MX 7.x und 8.x von ColdFusion auf. Ein direkter Cross-Site-Scripting Angriff ist nur bei Verwendung des Internet Information Server (IIS) 6 möglich; die Eingaben von CGI Variablen werden hier nicht korrekt bereinigt. Ein Fehler im Administrator Interface unterschlägt die Meldung fehlerhafter Anmeldeversuche. Über eine nicht näher spezifizierte Sicherheitslücke können Angreifer unter Umständen den Cross-Site-Scripting Abwehrmechanismus von ColdFusion umgehen. Adobe schließt alle Sicherheitslücken mit entsprechenden Hotfixes. (vgw)

Sie interessieren sich für IT-Security? Über aktuelle Sicherheitslücken informieren Sie die Security-Reports von tecCHANNEL in Kooperation mit Secunia. Sie können diesen Dienst auch als kostenlosen Newsletter oder als tägliche tecCHANNEL Security Summary abonnieren. Premium-Kunden haben zudem die Möglichkeit, sich bei hoch kritischen Lücken per Security Alert informieren zu lassen.