CVE-2013-0632
CVE-2013-0632
Em resumo
A interface administrativa do Adobe ColdFusion podia ser acessada sem senha através do componente RDS, permitindo que atacantes assumissem o controle total do servidor. Isso foi explorado ativamente por hackers no início de 2013.
Detalhe técnico
O componente RDS (Remote Development Services) no ColdFusion 9.0–10 aceita conexões com uma senha padrão vazia, permitindo acesso não autenticado à interface administrator.cfc. Um atacante pode estabelecer uma sessão RDS e aproveitá-la para acessar a interface web administrativa, contornando autenticação e potencialmente executando código arbitrário com privilégios administrativos.
Resumo gerado e traduzido por IA a partir da descrição oficial.
administrator.cfc in Adobe ColdFusion 9.0, 9.0.1, 9.0.2, and 10 allows remote attackers to bypass authentication and possibly execute arbitrary code by logging in to the RDS component using the default empty password and leveraging this session to access the administrative web interface, as exploited in the wild in January 2013.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · n/aPoCs públicas encontradas — 4
cve_referencewww.exploit-db.com/exploits/30210não verificadoexploitdbwww.exploit-db.com/exploits/30210não verificadoexploitdbwww.exploit-db.com/exploits/24946não verificadoexploitdbwww.exploit-db.com/exploits/27755não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →