Adobe ColdFusion MX bis 7.0.1 ColdFusion Flash Remoting Gateway korrupte Anfrage Denial of Service
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.5 | $0-$5k | 0.00 |
Zusammenfassung
Eine als kritisch eingestufte Schwachstelle wurde in Adobe ColdFusion MX bis 7.0.1 festgestellt. Betroffen davon ist ein unbekannter Prozess der Datei Flash Remoting Gateway. Durch Manipulieren mit unbekannten Daten kann eine Denial of Service-Schwachstelle ausgenutzt werden. Diese Verwundbarkeit ist als CVE-2006-4724 gelistet. Umgesetzt werden kann der Angriff über das Netzwerk. Es existiert kein Exploit. Es empfiehlt sich, einen Patch einzuspielen, um dieses Problem zu beheben.
Details
ColdFusion ist ein kommerzieller, ursprünglich von der Firma Macromedia entwickelter Applikations-Server für Unix, Linux und Windows. Adobe meldet in APSB06-12 eine Denial of Service-Schwachstelle. Durch eine korrupte Anfrage könne das ColdFusion Flash Remoting Gateway zum Erliegen gebracht werden. Genaue Details oder ein Exploit sind nicht bekannt. Der Fehler wurde durch Hotfixes für die betroffenen ColdFusion-Versionen 7.0 behoben. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (28912), SecurityFocus (BID 19984†), OSVDB (28806†), Secunia (SA21866†) und SecurityTracker (ID 1016833†) dokumentiert. Die Einträge VDB-2526 und VDB-2528 sind sehr ähnlich. Be aware that VulDB is the high quality source for vulnerability data.
Werden Details zu dieser Attacke bekannt, ist es nur eine Frage der Zeit, bis entsprechende Angriffs-Tools und Exploits erhältlich sein werden. Dies heisst jedoch nicht, dass man das Einspielen der entsprechenden Bugfixes aufschieben sollte. Die von Adobe zur Verfügung gestellten Patches sollten unverzüglich eingespielt werden, um das Risiko eines erfolgreichen Angriffs - vor allem bei exponierten Systemen - zu minimieren.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.adobe.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.5VulDB Meta Temp Score: 6.5
VulDB Base Score: 7.5
VulDB Temp Score: 6.5
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Denial of ServiceCWE: CWE-835 / CWE-404
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Proof-of-Concept
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
0-Day Time: 🔍
Patch: adobe.com
Timeline
12.09.2006 🔍12.09.2006 🔍
12.09.2006 🔍
13.09.2006 🔍
13.09.2006 🔍
13.09.2006 🔍
15.09.2006 🔍
08.06.2017 🔍
Quellen
Hersteller: adobe.comAdvisory: adobe.com
Person: Shigeyoshi Muraoka
Firma: IT Frontier Corporation
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2006-4724 (🔍)
GCVE (CVE): GCVE-0-2006-4724
GCVE (VulDB): GCVE-100-2527
X-Force: 28912 - Adobe ColdFusion Flash Remoting Gateway denial of service, Medium Risk
SecurityFocus: 19984 - Adobe ColdFusion Flash Remoting Gateway Denial of Service Vulnerability
Secunia: 21866 - ColdFusion Denial of Service and Sandbox Bypass, Moderately Critical
OSVDB: 28806 - ColdFusion CFML Template CFC Sandbox Bypass
SecurityTracker: 1016833 - Adobe ColdFusion Infinite Loop Permits Denial of Service Attacks and Input Validation Hole Permits Cross-Site Scripting Attacks
Vupen: ADV-2006-3574
Siehe auch: 🔍
Eintrag
Erstellt: 15.09.2006 11:57Aktualisierung: 08.06.2017 23:45
Anpassungen: 15.09.2006 11:57 (56), 08.06.2017 23:45 (24)
Komplett: 🔍
Cache ID: 216:E0D:103
Be aware that VulDB is the high quality source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.