📚 Adobe ColdFusion bis 10 Update 20/11 Update 9 XML Handler Information Disclosure

🕛 Zeit seit Veröffentlichung: 2782 Tage, 20 Stunden 58 Minuten
📆 Veröffentlicht am: 30.08.2016 um 02:00 Uhr
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com

Es wurde eine Schwachstelle in Adobe ColdFusion bis 10 Update 20/11 Update 9 gefunden. Sie wurde als problematisch eingestuft. Es betrifft eine unbekannte Funktion der Komponente XML Handler. Mittels Manipulieren mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Mit Auswirkungen muss man rechnen für die Vertraulichkeit.

Die Schwachstelle wurde am 30.08.2016 durch Dawid Golunski als APSB16-30 in Form eines bestätigten Security Bulletins (Website) publik gemacht. Das Advisory kann von helpx.adobe.com heruntergeladen werden. Die Verwundbarkeit wird unter CVE-2016-4264 geführt. Der Angriff kann über das Netzwerk erfolgen. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt.

Die Schwachstelle lässt sich durch das Einspielen eines Patches beheben. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Adobe hat sofort reagiert.

Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1036708) dokumentiert.

CVSSv3

Base Score: ≈4.3 [?]
Temp Score: ≈4.1 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N/E:X/RL:O/RC:C [?]
Zuverlässigkeit: Medium

CVSSv2

Base Score: ≈3.5 (CVSS2#AV:N/AC:M/Au:S/C:P/I:N/A:N) [?]
Temp Score: ≈3.0 (CVSS2#E:ND/RL:OF/RC:C) [?]
Zuverlässigkeit: Medium

CPE

Exploiting

Klasse: Information Disclosure
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $0-$1k (0-day) / $0-$1k (Heute)

Gegenmassnahmen

Empfehlung: Patch
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Timeline

30.08.2016 Advisory veröffentlicht
30.08.2016 Gegenmassnahme veröffentlicht
31.08.2016 SecurityTracker Eintrag erstellt
01.09.2016 VulDB Eintrag erstellt
01.09.2016 VulDB letzte Aktualisierung

Quellen

Advisory: APSB16-30
Person: Dawid Golunski
Status: Bestätigt

CVE: CVE-2016-4264 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityTracker: 1036708 - Adobe ColdFusion XML Entity Parsing Bug Lets Remote Users Obtain Potentially Sensitive Information on the Target System

Eintrag

Erstellt: 01.09.2016
Eintrag: 76.3% komplett
...

Sharing is caring on Social Media

📌 CVE-2015-5255 | Adobe ColdFusion 11 Update 6/up to 10 Update 17 BlazeDS XML Document input validation (ID 134506 / BID-77626)

🕛 655 Tage, 9 Stunden 40 Minuten
📆 27.06.2022 um 14:48 Uhr
📈 31.18 Punkte

🏠 Team IT Security News