Adobe ColdFusion 多种漏洞 (APSB13-03)(凭据检查)

critical Nessus 插件 ID 66526

简介

远程 Windows 主机上的 Web 管理界面存在多种漏洞。

描述

远程主机上安装的 Adobe ColdFusion 版本缺少解决以下漏洞的热修复:

- 存在一个认证绕过漏洞,可允许未经授权的用户获取管理访问权限。(CVE-2013-0625)

- 存在一个目录遍历漏洞,可允许未经授权的用户获取管理访问权限。(CVE-2013-0629)

- 存在不明信息泄露漏洞,可影响已受到危害的服务器。(CVE-2013-0631)

- 存在认证绕过漏洞,可允许未经授权的用户获取管理访问权限。(CVE-2013-0632)

解决方案

应用 Adobe 安全公告 APSB13-03 中提及的相应热修复。

另见

https://forums.adobe.com/message/4962104

http://www.nessus.org/u?832b0298

https://www.adobe.com/support/security/advisories/apsa13-01.html

https://www.adobe.com/support/security/bulletins/apsb13-03.html

http://www.nessus.org/u?a76b1a91

插件详情

严重性: Critical

ID: 66526

文件名: coldfusion_win_apsb13-03.nasl

版本: 1.13

类型: local

代理: windows

系列: Windows

发布时间: 2013/5/21

最近更新时间: 2023/4/25

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Critical

分数: 9.0

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 8.3

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2013-0632

漏洞信息

CPE: cpe:/a:adobe:coldfusion

必需的 KB 项: SMB/coldfusion/instance

可利用: true

易利用性: Exploits are available

补丁发布日期: 2013/1/15

漏洞发布日期: 2012/12/28

CISA 已知可遭利用的漏洞到期日期: 2022/3/24, 2022/9/7

可利用的方式

Core Impact

Metasploit (Adobe ColdFusion 9 Administrative Login Bypass)

参考资料信息

CVE: CVE-2013-0625, CVE-2013-0629, CVE-2013-0631, CVE-2013-0632

BID: 57164, 57165, 57166, 57330