CVE-2009-3960
CVE-2009-3960
Vexday Risk Score
100Corregir ahora
Decisión SSVC (CISA)
Act
Explotación + impacto → acción inmediata
Madurez del exploit
Exploit funcional
Exploit automatizable disponible (Nuclei/Metasploit).
CVSS 6.5EPSS 90.0%KEV simPoC públicaNuclei —Metasploit simPatch —
Ciclo de vida
15 feb 2010Publicada en NVD
22 feb 2010PoC pública
07 mar 2022Explotación activa (CISA KEV)
Velocidad de armamento
6 díashasta el primer PoC
4402 díashasta explotación activa (KEV)
Armada rápidamente — los atacantes priorizaron esta vulnerabilidad. Corrige con urgencia.
Recomendación: Corregir cuanto antes — hay explotación activa confirmada.
En resumen
Una falla en BlazeDS y productos relacionados de Adobe permite que atacantes obtengan información sensible manipulando solicitudes XML con etiquetas inyectadas y referencias a entidades externas. Esto podría exponer datos confidenciales si un atacante envía una solicitud especialmente elaborada al sistema afectado.
Detalle técnico
Una vulnerabilidad no especificada en BlazeDS 3.2 y versiones anteriores (afectando LiveCycle, Flex Data Services y ColdFusion) permite que atacantes remotos recuperen información sensible mediante inyección de entidades externas XML (XXE) e inyección de etiquetas. El ataque requiere envío de una solicitud XML malformada pero no necesita autenticación, permitiendo divulgación de información.
Resumen generado y traducido por IA a partir de la descripción oficial.
Unspecified vulnerability in BlazeDS 3.2 and earlier, as used in LiveCycle 8.0.1, 8.2.1, and 9.0, LiveCycle Data Services 2.5.1, 2.6.1, and 3.0, Flex Data Services 2.0.1, and ColdFusion 7.0.2, 8.0, 8.0.1, and 9.0, allows remote attackers to obtain sensitive information via vectors that are associated with a request, and related to injected tags and external entity references in XML documents.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
Productos afectados
n/a · n/aPoCs públicas encontradas — 3
cve_referencewww.exploit-db.com/exploits/41855/no verificadoexploitdbwww.exploit-db.com/exploits/11529no verificadoexploitdbwww.exploit-db.com/exploits/41855no verificado⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
Referencias
http://secunia.com/advisories/38543http://securitytracker.com/id?1023584https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2009-3960https://www.exploit-db.com/exploits/41855/http://www.adobe.com/support/security/bulletins/apsb10-05.htmlhttp://www.osvdb.org/62292http://www.securityfocus.com/bid/38197