📚 Adobe ColdFusion bis 10 Update 20/11 Update 9 XML Handler Information Disclosure
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
Es wurde eine Schwachstelle in Adobe ColdFusion bis 10 Update 20/11 Update 9 gefunden. Sie wurde als problematisch eingestuft. Es betrifft eine unbekannte Funktion der Komponente XML Handler. Mittels Manipulieren mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Mit Auswirkungen muss man rechnen für die Vertraulichkeit.
Die Schwachstelle wurde am 30.08.2016 durch Dawid Golunski als APSB16-30 in Form eines bestätigten Security Bulletins (Website) publik gemacht. Das Advisory kann von helpx.adobe.com heruntergeladen werden. Die Verwundbarkeit wird unter CVE-2016-4264 geführt. Der Angriff kann über das Netzwerk erfolgen. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt.
Die Schwachstelle lässt sich durch das Einspielen eines Patches beheben. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Adobe hat sofort reagiert.
Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1036708) dokumentiert.
CVSSv3
Base Score: ≈4.3 [?]Temp Score: ≈4.1 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N/E:X/RL:O/RC:C [?]
Zuverlässigkeit: Medium
CVSSv2
Base Score: ≈3.5 (CVSS2#AV:N/AC:M/Au:S/C:P/I:N/A:N) [?]Temp Score: ≈3.0 (CVSS2#E:ND/RL:OF/RC:C) [?]
Zuverlässigkeit: Medium
CPE
Exploiting
Klasse: Information DisclosureLokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $0-$1k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: PatchStatus: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Timeline
30.08.2016 Advisory veröffentlicht30.08.2016 Gegenmassnahme veröffentlicht
31.08.2016 SecurityTracker Eintrag erstellt
01.09.2016 VulDB Eintrag erstellt
01.09.2016 VulDB letzte Aktualisierung
Quellen
Advisory: APSB16-30Person: Dawid Golunski
Status: Bestätigt
CVE: CVE-2016-4264 (mitre.org) (nvd.nist.org) (cvedetails.com)
SecurityTracker: 1036708 - Adobe ColdFusion XML Entity Parsing Bug Lets Remote Users Obtain Potentially Sensitive Information on the Target System
Eintrag
Erstellt: 01.09.2016Eintrag: 76.3% komplett
...