Нові уразливості в Adobe ColdFusion
16:19 15.06.201123.03.2011
У січні, 28.01.2011, я знайшов Brute Force та Abuse of Functionality уразливості в Adobe ColdFusion. Які я виявив на одному сайті, що використовує ColdFusion. Про що найближчим часом повідомлю розробникам.
Раніше я вже писав про уразливості в Adobe ColdFusion.
Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.
15.06.2011
Brute Force:
http://site/CFIDE/administrator/
Немає захисту від Brute Force атак.
Abuse of Functionality:
http://site/CFIDE/administrator/
Логін адміна є фіксованим - це логін admin, що вказаний в формі аутентифікації. Що значно полегшує Brute Force атаки (тому що непотрібно підбирати логіни, лише підібрати пароль для одного логіна). В ColdFusion 7 і попередніх версіях взагалі немає поля логін, а лише поле пароль, що так само полегшує Brute Force атаки.
Як я вияснив, в 2008 році Адобу вже повідомили про Brute Force (CVE-2008-1203) і вони офіційно виправили його. Але Abuse of Functionality все ще присутня в останніх версіях ColdFusion. Для перевірки надійності цього виправлення BF я знайшов адмінку з дев’ятою версією. І як я й очікував (прочитавши опис того, як Adobe виправила цю уразливість), виправлення неефективне - бо Адоб лише додала (в патчах для версій MX7 і 8 і зробила в 9) логування невдалих спроб логіну, а захисту від BF як не було, так і немає.
Уразливі ColdFusion 9 та попередні версії.
