製品・ソフトウェアに関する情報

JVN脆弱性詳細

Adobe ColdFusion の administrator.cfc における認証を回避される脆弱性

Title	Adobe ColdFusion の administrator.cfc における認証を回避される脆弱性
Summary	Adobe ColdFusion の administrator.cfc には、認証を回避され、任意のコードを実行される脆弱性が存在します。本脆弱性への攻撃が 2013 年 1 月に観測されています。
Possible impacts	第三者により、デフォルトの空のパスワードを使用して RDS コンポーネントにログインされ、管理 Web インターフェースにアクセスするためにこのセッションを利用されることで、認証を回避され、任意のコードを実行される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Jan. 4, 2013, midnight
Registration Date	Jan. 18, 2013, 11:33 a.m.
Last Update	May 11, 2015, 4:08 p.m.

Affected System

アドビシステムズ

Adobe ColdFusion 10

Adobe ColdFusion 9.0

Adobe ColdFusion 9.0.1

Adobe ColdFusion 9.0.2

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2013-0632	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0632
National Vulnerability Database (NVD)
2	CVE-2013-0632	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-0632

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-200	https://jvndb.jvn.jp/ja/cwe/CWE-200.html

ベンダー情報

No	Name	URL
Adobe Security Bulletin
1	APSA13-01	http://www.adobe.com/support/security/advisories/apsa13-01.html
2	APSB13-03	http://www.adobe.com/support/security/bulletins/apsb13-03.html
Adobe セキュリティ情報
3	APSA13-01	http://www.adobe.com/jp/support/security/advisories/apsa13-01.html
4	APSB13-03 (cq01151042)	http://helpx.adobe.com/jp/coldfusion/kb/cq01151042.html

その他

No	Name	URL
JVN
1	JVNTA#99041988	http://jvn.jp/ta/JVNTA99041988/
US-CERT Technical Cyber Security Alert
2	TA15-119A	https://www.us-cert.gov/ncas/alerts/TA15-119A

Change Log

No	Changed Details	Date of change
0	[2013年01月18日] 掲載 [2014年02月25日] タイトル：内容を更新概要：内容を更新想定される影響：内容を更新 [2015年05月11日] 参考情報：JVN (JVNTA#99041988) を追加参考情報：US-CERT Technical Cyber Security Alert (TA15-119A) を追加	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2013-0632

Summary	administrator.cfc in Adobe ColdFusion 9.0, 9.0.1, 9.0.2, and 10 allows remote attackers to bypass authentication and possibly execute arbitrary code by logging in to the RDS component using the default empty password and leveraging this session to access the administrative web interface, as exploited in the wild in January 2013.
Summary	En el archivo administrator.cfc en ColdFusion de Adobe versiones 9.0, 9.0.1, 9.0.2 y 10, permite a los atacantes remotos omitir la autenticación y posiblemente ejecutar código arbitrario mediante el inicio de sesión en el componente RDS con el valor de contraseña vacía por defecto y aprovechando esta sesión para acceder a la interfaz web administrativa, como se explotó “in the wild” en Enero de 2013.
Publication Date	Jan. 17, 2013, 9:55 a.m.
Registration Date	Jan. 26, 2021, 3:34 p.m.
Last Update	April 22, 2026, 6:01 a.m.

Affected software configurations

Related information, measures and tools

No	URL	refsource
1	http://www.adobe.com/support/security/advisories/apsa13-01.html	psirt@adobe.com
2	http://www.adobe.com/support/security/bulletins/apsb13-03.html	psirt@adobe.com
3	http://www.exploit-db.com/exploits/30210	psirt@adobe.com
4	http://www.adobe.com/support/security/advisories/apsa13-01.html	af854a3a-2127-422b-91ae-364da2661108
5	http://www.adobe.com/support/security/bulletins/apsb13-03.html	af854a3a-2127-422b-91ae-364da2661108
6	http://www.exploit-db.com/exploits/30210	af854a3a-2127-422b-91ae-364da2661108
7	https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2013-0632	134c704f-9b21-4f2e-91b3-4a467353bcc0

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-276	不適切なデフォルトパーミッション	https://cwe.mitre.org/data/definitions/276.html