Adobe ColdFusion 9.0/9.0.1/9.0.2/10.0 Directory cfcexplorer.cfc path élévation de privilèges
| CVSS Score méta-temporaire | Prix actuel de l'exploit (≈) | Score d'intérêt CTI |
|---|---|---|
| 6.8 | $0-$5k | 0.00 |
Résumé
Une vulnérabilité qui a été classée critique a été trouvée dans Adobe ColdFusion 9.0/9.0.1/9.0.2/10.0. La partie affectée est une fonction inconnue du fichier CFIDE/componentutils/cfcexplorer.cfc du composant Directory Handler. La manipulation de l’argument path conduit à élévation de privilèges. Cette vulnérabilité est connue comme CVE-2013-0629. En outre, un exploit est accessible. Il est conseillé d'installer un patch pour corriger cette vulnérabilité.
Détails
Une vulnérabilité classée critique a été trouvée dans Adobe ColdFusion 9.0/9.0.1/9.0.2/10.0 (Programming Language Software). Affecté est une fonction inconnue du fichier CFIDE/componentutils/cfcexplorer.cfc du composant Directory Handler. La manipulation du paramètre path avec une valeur d'entrée inconnue mène à une vulnérabilité de classe élévation de privilèges.
La vulnerabilité a été publié en 04/01/2013 avec le numéro d'identification APSA13-01 avec bulletin (Website) (confirmé). La notice d'information est disponible en téléchargement sur adobe.com La publication s'est produite sans coordination avec le fabricant. Cette vulnérabilité est identifiée comme CVE-2013-0629. Résulat difficile à exploiter. Il est possible de lancer l'attaque à distance. L'exploitation ne nécéssite aucune forme d'authentification. Des details techniques et un public exploit sont connus.
Un exploit a été developpé par metasploit en Ruby et a été publié 4 mois après la notice d'information. L'exploit est disponible au téléchargment sur dev.metasploit.com. Il est déclaré comme attaqué. Le scanner de vulnérabilités Nessus propose un module ID 66526 (Adobe ColdFusion Multiple Vulnerabilities (APSB13-03) (credentialed check)), lequel aide à déterminer l'existence d'une faille dans l'environnement-cible.
En appliquant un correctif il est possible d'éliminer le problème. Le correctif est disponible au téléchargement sur helpx.adobe.com. Une solution envisageable a été publiée 2 semaines après la publication de la vulnérabilité.
La vulnérabilité est aussi documentée dans les base de données Exploit-DB (24946), Zero-Day.cz (247), Tenable (66526), SecurityFocus (BID 57165†) et OSVDB (88890†). Once again VulDB remains the best source for vulnerability data.
Produit
Taper
Fournisseur
Nom
Version
Licence
Site web
- Fournisseur: https://www.adobe.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vecteur: 🔍VulDB Fiabilité: 🔍
CVSSv3
VulDB Score méta-base: 6.8VulDB Score méta-temporaire: 6.8
VulDB Note de base: 4.8
VulDB Note temporaire: 4.6
VulDB Vecteur: 🔍
VulDB Fiabilité: 🔍
NVD Note de base: 7.5
NVD Vecteur: 🔍
CNA Note de base: 7.5
CNA Vecteur: 🔍
ADP CISA Note de base: 7.5
ADP CISA Vecteur: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vecteur | Complexité | Authentification | Confidentialité | Intégrité | Disponibilité |
|---|---|---|---|---|---|
| Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
| Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
| Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
VulDB Note de base: 🔍
VulDB Note temporaire: 🔍
VulDB Fiabilité: 🔍
NVD Note de base: 🔍
Exploitation
Classe: élévation de privilègesCWE: CWE-264
CAPEC: 🔍
ATT&CK: 🔍
Physique: Non
Local: Non
Remote: Oui
Disponibilité: 🔍
Accès: Public
Statut: Attaqué
Auteur: metasploit
Langage de programmation: 🔍
Télécharger: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
KEV Ajouté: 🔍
KEV Jusqu'à quand: 🔍
KEV Contre-mesures: 🔍
KEV Ransomware: 🔍
KEV Avis: 🔍
Prédiction de prix: 🔍
Estimation actuelle des prix: 🔍
| 0-Day | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
|---|---|---|---|---|
| Aujourd'hui | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
Nessus ID: 66526
Nessus Nom: Adobe ColdFusion Multiple Vulnerabilities (APSB13-03) (credentialed check)
Nessus Fichier: 🔍
Nessus Risque: 🔍
Nessus Famille: 🔍
OpenVAS ID: 801267
OpenVAS Nom: Adobe ColdFusion Multiple Vulnerabilities-03 May-2014
OpenVAS Fichier: 🔍
OpenVAS Famille: 🔍
Qualys ID: 🔍
Qualys Nom: 🔍
Exploit-DB: 🔍
Zero-Day.cz: 🔍
Renseignements sur les menaces
Intérêt: 🔍Acteurs actifs: 🔍
Groupes APT actifs: 🔍
Contre-mesures
Recommandé: CorrectifStatut: 🔍
Temps de réaction: 🔍
Heure 0 jour: 🔍
Temps d'exposition: 🔍
Délai d'exploitation: 🔍
Correctif: helpx.adobe.com
TippingPoint: 🔍
PaloAlto IPS: 🔍
Fortigate IPS: 🔍
Chronologie
18/12/2012 🔍04/01/2013 🔍
04/01/2013 🔍
04/01/2013 🔍
05/01/2013 🔍
08/01/2013 🔍
08/01/2013 🔍
15/01/2013 🔍
10/04/2013 🔍
10/04/2013 🔍
22/04/2026 🔍
Sources
Fournisseur: adobe.comBulletin: APSA13-01
Statut: Confirmé
Confirmation: 🔍
CVE: CVE-2013-0629 (🔍)
GCVE (CVE): GCVE-0-2013-0629
GCVE (VulDB): GCVE-100-7236
SecurityFocus: 57165 - Adobe ColdFusion CVE-2013-0629 Unauthorized Access Vulnerability
OSVDB: 88890
Vulnerability Center: 37910 - [APSB13-03, APSA13-01] Adobe ColdFusion 9.0-9.0.2, 10 Remote Access to Restricted Directories, Medium
scip Labs: https://www.scip.ch/en/?labs.20161013
Divers: 🔍
Voir aussi: 🔍
Entrée
Créé: 05/01/2013 12:06Mise à jour: 22/04/2026 11:49
Changements: 05/01/2013 12:06 (87), 26/08/2017 06:38 (10), 20/04/2021 14:38 (3), 23/04/2024 20:54 (28), 14/07/2024 15:03 (2), 16/07/2024 22:47 (12), 09/09/2024 22:29 (1), 04/02/2025 23:38 (11), 22/04/2026 11:49 (11)
Complet: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
Aucun commentaire pour l'instant. Langues: fr + it + en.
Veuillez vous connecter pour commenter.