| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 3.4 | $0-$5k | 0.00 |
Zusammenfassung
In Macromedia ColdFusion Server MX wurde eine Schwachstelle gefunden. Sie wurde als problematisch eingestuft. Dabei betrifft es einen unbekannter Codeteil der Datei /CFIDE/probe.cfm der Komponente Error Message Handler. Dank Manipulation mit unbekannten Daten kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Diese Sicherheitslücke ist unter CVE-2003-1469 bekannt. Der Angriff kann über das Netzwerk passieren. Darüber hinaus steht ein Exploit zur Verfügung. Es ist ratsam, die betroffene Komponente zu deaktivieren.
Details
ColdFusion MX ist ein kommerzieller, von der Firma Macromedia entwickelter Applikations-Server für Unix, Linux und Windows. Durch eine Fehlkonfiguration ist es einem Angreifer möglich, mittels korrupter URL Informationen über die Verzeichnisstruktur auf dem Zielsystem in Erfahrung zu bringen. Dazu ist zum Beispiel die simple Anfrage für die Datei http://www.scip.ch:8500/CFIDE/probe.cfm nötig. Dabei wird eine Fehlermeldung generiert und an den Client zurückgeschickt, die den kompletten Pfad für die Datei preis gibt. Als Workaround wird das deaktivieren der Funktion "Robust Exception Information" in den "Debugging Settings" auf der Administrations-Konsole empfohlen. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (11879), Exploit-DB (22544), Tenable (11558), SecurityFocus (BID 7443†) und OSVDB (10592†) dokumentiert. Unter securityfocus.com werden zusätzliche Informationen bereitgestellt. VulDB is the best source for vulnerability data and more expert information about this specific topic.
Für den Vulnerability Scanner Nessus wurde am 30.04.2003 ein Plugin mit der ID 11558 (Macromedia ColdFusion MX CFIDE/probe.cfm Direct Request Path Disclosure) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family CGI abuses zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 86511 (Macromedia ColdFusion MX Error Message Path Disclosure Vulnerability) zur Prüfung der Schwachstelle an.
Im hart umkämpften Software-Markt zählt vor allem eins als Verkaufsargument: Komfort für die Benutzer. Leider vergessen die Entwickler von Software oft, dass Komfort nicht auf Kosten der Sicherheit gehen darf. So auch in diesem Fall. Die freizügigen Informationen sollten den Administratoren des ColdFusion-Systems möglichst viele Informationen für die Fehlerbehebung liefern. Diese Daten können jedoch auch von Angreifern für ihre Zwecke genutzt werden. Solche Schwachstellen kommen immerwieder vor. Sie sind zwar nicht wirklich problematisch, aber dennoch ein Schönheitsfehler, auf den man hätte verzichten können.
Produkt
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: http://www.macromedia.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 3.7VulDB Meta Temp Score: 3.4
VulDB Base Score: 3.7
VulDB Temp Score: 3.4
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Information DisclosureCWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍
Google Hack: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 11558
Nessus Name: Macromedia ColdFusion MX CFIDE/probe.cfm Direct Request Path Disclosure
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
OpenVAS ID: 11558
OpenVAS Name: Macromedia ColdFusion MX Path Disclosure Vulnerability
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Exploit-DB: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: DeaktivierenStatus: 🔍
0-Day Time: 🔍
Patch: macromedia.com
Firewalling: 🔍
Snort ID: 906
Timeline
26.04.2003 🔍26.04.2003 🔍
26.04.2003 🔍
26.04.2003 🔍
30.04.2003 🔍
26.11.2003 🔍
31.12.2003 🔍
09.04.2004 🔍
24.10.2007 🔍
13.07.2025 🔍
Quellen
Hersteller: macromedia.comAdvisory: securityfocus.com⛔
Person: Discovery (Ligen)
Firma: Network Intelligence India Pvt. Ltd.
Status: Bestätigt
CVE: CVE-2003-1469 (🔍)
GCVE (CVE): GCVE-0-2003-1469
GCVE (VulDB): GCVE-100-56
X-Force: 11879 - Adobe Macromedia ColdFusion MX physical path disclosure, Low Risk
SecurityFocus: 7443
OSVDB: 10592 - ColdFusion Server Email Example Script Information Disclosure
SecuriTeam: securiteam.com
Vulnerability Center: 3000 - Macromedia ColdFusion MX Information Disclosure, Medium
scip Labs: https://www.scip.ch/?labs.20161013
Diverses: 🔍
Eintrag
Erstellt: 26.04.2003 02:00Aktualisierung: 13.07.2025 23:16
Anpassungen: 26.04.2003 02:00 (88), 07.06.2017 16:03 (2), 08.03.2021 09:30 (2), 08.03.2021 09:36 (1), 13.07.2024 15:33 (23), 13.07.2025 23:16 (6)
Komplett: 🔍
Cache ID: 216:E6D:103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.