The version of Adobe ColdFusion running on the remote host has an authentication bypass vulnerability. When RDS is disabled and not configured with password protection, it is possible to authenticate as an administrative user without providing a username or password. A remote, unauthenticated attacker can exploit this to gain administrative access to the ColdFusion Administrator interface. After authenticating, it is possible to write arbitrary files to the host, resulting in arbitrary code execution. 

All versions of ColdFusion 10 are affected. ColdFusion 9, 9.0.1, and 9.0.2 are only affected when the hotfixes for APSB13-03 have been applied and web.xml is configured to allow access to the RDS servlet. 

This plugin exploits the vulnerability by creating a .cfm file to execute arbitrary code.

远程主机上运行的 Adobe ColdFusion 版本存在认证绕过漏洞。当 RDS 禁用且未配置密码保护时，无需提供用户名或密码即可认证为管理用户。未经认证的远程攻击者可利用此漏洞来获取 ColdFusion 管理界面的管理访问权限。在认证后，可将任意文件写入主机，从而导致任意代码执行。

所有版本的 ColdFusion 10 均受到影响。当 APSB13-03 应用热修复且 web.xml 配置为允许访问 RDS servlet 时，仅 ColdFusion 9、9.0.1 和 9.0.2 受到影响。

遠端主機上執行的 Adobe ColdFusion 版本有驗證繞過弱點。當 RDS 已停用且未設定密碼保護時，可能無需提供使用者名稱或密碼便驗證為管理使用者。未經驗證的遠端攻擊者可利用此弱點取得 ColdFusion 系統管理員介面的管理存取權。驗證後，可能將任意檔案寫入主機，從而導致任意程式碼執行。

所有版本的 ColdFusion 10 都會受到影響。ColdFusion 9、9.0.1 和 9.0.2 只有在套用 APSB13-03 的 hotfix，並將 web.xml 設定為允許存取 RDS Servlet 時，才會受到影響。

The version of Adobe ColdFusion running on the remote host has an authentication bypass vulnerability. When RDS is disabled and not configured with password protection, it is possible to authenticate as an administrative user without providing a username or password. A remote, unauthenticated attacker can exploit this to gain administrative access to the ColdFusion Administrator interface. After authenticating, it is possible to write arbitrary files to the host, resulting in arbitrary code execution. 

All versions of ColdFusion 10 are affected. ColdFusion 9, 9.0.1, and 9.0.2 are only affected when the hotfixes for APSB13-03 have been applied and web.xml is configured to allow access to the RDS servlet.

リモートホストで実行されているバージョンの Adobe ColdFusion に、認証バイパス脆弱性があります。RDS が無効化され、パスワード保護で構成されていない場合、ユーザー名やパスワードなしで管理者として認証を行う可能性があります。リモートの認証されていない攻撃者はこれを悪用して、ColdFusion Admninistrator インターフェイスに対する管理者アクセスを取得することができます。認証後、ホストに対して任意のファイルを書き込むことができ、任意のコードを実行することができます。

ColdFusion 10 のすべてのバージョンが影響を受けます。ColdFusion 9, 9.0.1 と 9.0.2 は、APSB13-03 のホットフィックスが適用され、RDS サーブレットへアクセスできるように web.xml が構成された場合のみ影響を受けます。

このプラグインは、.cfm ファイルを作成することでこの脆弱性を悪用して、任意のコードを実行します。

リモートホストで実行されているバージョンの Adobe ColdFusion に、認証バイパス脆弱性があります。RDS が無効化され、パスワード保護で構成されていない場合、ユーザー名やパスワードなしで管理者として認証を行う可能性があります。リモートの認証されていない攻撃者はこれを悪用して、ColdFusion Admninistrator インターフェイスに対する管理者アクセスを取得することができます。認証後、ホストに対して任意のファイルを書き込むことができ、任意のコードを実行することができます。

ColdFusion 10 のすべてのバージョンが影響を受けます。ColdFusion 9, 9.0.1 と 9.0.2 は、APSB13-03 のホットフィックスが適用され、RDS サーブレットへアクセスできるように web.xml が構成された場合のみ影響を受けます。

遠端主機上執行的 Adobe ColdFusion 版本有驗證繞過弱點。當 RDS 已停用且未設定密碼保護時，可能無需提供使用者名稱或密碼便驗證為管理使用者。未經驗證的遠端攻擊者可利用此弱點取得 ColdFusion 系統管理員介面的管理存取權。驗證後，可能將任意檔案寫入主機，從而導致任意程式碼執行。

所有版本的 ColdFusion 10 都會受到影響。ColdFusion 9、9.0.1 和 9.0.2 只有在套用 APSB13-03 的 hotfix，並將 web.xml 設定為允許存取 RDS Servlet 時，才會受到影響。

此外掛程式會透過建立 .cfm 檔案來惡意利用該弱點，藉此執行任意程式碼。

远程主机上运行的 Adobe ColdFusion 版本存在认证绕过漏洞。当 RDS 禁用且未配置密码保护时，无需提供用户名或密码即可认证为管理用户。未经认证的远程攻击者可利用此漏洞来获取 ColdFusion 管理界面的管理访问权限。在认证后，可将任意文件写入主机，从而导致任意代码执行。

所有版本的 ColdFusion 10 均受到影响。当 APSB13-03 应用热修复且 web.xml 配置为允许访问 RDS servlet 时，仅 ColdFusion 9、9.0.1 和 9.0.2 受到影响。

此插件通过创建 .cfm 文件利用此漏洞以执行任意代码。

ID	Name	Product	Family	Published	Updated	Severity
66408	Adobe ColdFusion Authentication Bypass (APSB13-13) (intrusive check)	Nessus	CGI abuses	5/14/2013	1/19/2021	high
66407	Adobe ColdFusion 认证绕过 (APSB13-13)	Nessus	CGI abuses	5/14/2013	1/19/2021	critical
66407	Adobe ColdFusion 驗證繞過 (APSB13-13)	Nessus	CGI abuses	5/14/2013	1/19/2021	critical
66407	Adobe ColdFusion Authentication Bypass (APSB13-13)	Nessus	CGI abuses	5/14/2013	1/19/2021	critical
66408	Adobe ColdFusion 認証バイパス（APSB13-13）（intrusive check）	Nessus	CGI abuses	5/14/2013	1/19/2021	high
66407	Adobe ColdFusion 認証バイパス（APSB13-13）	Nessus	CGI abuses	5/14/2013	1/19/2021	critical
66408	Adobe ColdFusion 驗證繞過 (APSB13-13) (入侵檢查)	Nessus	CGI abuses	5/14/2013	1/19/2021	high
66408	Adobe ColdFusion 认证绕过 (APSB13-13)（入侵检查）	Nessus	CGI abuses	5/14/2013	1/19/2021	high

Detections

Analytics

Plugins Search

high

critical

critical

critical

high

critical

high

high