Adobe ColdFusion 驗證繞過 (APSB13-13)

critical Nessus Plugin ID 66407

概要

遠端主機上的 Web 管理介面有驗證繞過弱點。

說明

遠端主機上執行的 Adobe ColdFusion 版本有驗證繞過弱點。當 RDS 已停用且未設定密碼保護時,可能無需提供使用者名稱或密碼便驗證為管理使用者。未經驗證的遠端攻擊者可利用此弱點取得 ColdFusion 系統管理員介面的管理存取權。驗證後,可能將任意檔案寫入主機,從而導致任意程式碼執行。

所有版本的 ColdFusion 10 都會受到影響。ColdFusion 9、9.0.1 和 9.0.2 只有在套用 APSB13-03 的 hotfix,並將 web.xml 設定為允許存取 RDS Servlet 時,才會受到影響。

解決方案

套用 Adobe 安全性佈告欄 APSB13-13 中提及的適當 hotfix。

另請參閱

https://www.tenable.com/security/research/tra-2013-04

https://www.adobe.com/support/security/bulletins/apsb13-13.html

http://www.nessus.org/u?e77cccdb

Plugin 詳細資訊

嚴重性: Critical

ID: 66407

檔案名稱: coldfusion_apsb13-13.nasl

版本: 1.13

類型: remote

系列: CGI abuses

已發布: 2013/5/14

已更新: 2021/1/19

支援的感應器: Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: Critical

基本分數: 10

時間分數: 7.8

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

弱點資訊

CPE: cpe:/a:adobe:coldfusion

必要的 KB 項目: installed_sw/ColdFusion

可被惡意程式利用: true

可輕鬆利用: Exploits are available

由 Nessus 利用: true

修補程式發佈日期: 2013/5/14

弱點發布日期: 2013/5/14

參考資訊

CVE: CVE-2013-1389

BID: 59849