| タイトル | Adobe ColdFusion の administrator.cfc における認証を回避される脆弱性 |
|---|---|
| 概要 | Adobe ColdFusion の administrator.cfc には、認証を回避され、任意のコードを実行される脆弱性が存在します。 本脆弱性への攻撃が 2013 年 1 月に観測されています。 |
| 想定される影響 | 第三者により、デフォルトの空のパスワードを使用して RDS コンポーネントにログインされ、管理 Web インターフェースにアクセスするためにこのセッションを利用されることで、認証を回避され、任意のコードを実行される可能性があります。 |
| 対策 | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2013年1月4日0:00 |
| 登録日 | 2013年1月18日11:33 |
| 最終更新日 | 2015年5月11日16:08 |
| CVSS2.0 : 危険 | |
| スコア | 10 |
|---|---|
| ベクター | AV:N/AC:L/Au:N/C:C/I:C/A:C |
| アドビシステムズ |
| Adobe ColdFusion 10 |
| Adobe ColdFusion 9.0 |
| Adobe ColdFusion 9.0.1 |
| Adobe ColdFusion 9.0.2 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2013年01月18日] 掲載 [2014年02月25日] タイトル:内容を更新 概要:内容を更新 想定される影響:内容を更新 [2015年05月11日] 参考情報:JVN (JVNTA#99041988) を追加 参考情報:US-CERT Technical Cyber Security Alert (TA15-119A) を追加 |
2018年2月17日10:37 |
| 概要 | administrator.cfc in Adobe ColdFusion 9.0, 9.0.1, 9.0.2, and 10 allows remote attackers to bypass authentication and possibly execute arbitrary code by logging in to the RDS component using the default empty password and leveraging this session to access the administrative web interface, as exploited in the wild in January 2013. |
|---|---|
| 概要 | En el archivo administrator.cfc en ColdFusion de Adobe versiones 9.0, 9.0.1, 9.0.2 y 10, permite a los atacantes remotos omitir la autenticación y posiblemente ejecutar código arbitrario mediante el inicio de sesión en el componente RDS con el valor de contraseña vacía por defecto y aprovechando esta sesión para acceder a la interfaz web administrativa, como se explotó “in the wild” en Enero de 2013. |
| 公表日 | 2013年1月17日9:55 |
| 登録日 | 2021年1月26日15:34 |
| 最終更新日 | 2026年4月22日6:01 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:adobe:coldfusion:9.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:coldfusion:9.0.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:coldfusion:9.0.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:coldfusion:10.0:*:*:*:*:*:*:* | |||||