CVE-2016-4264
CVE-2016-4264
Vexday Risk Score
35Atención
Decisión SSVC (CISA)
Attend
PoC disponible → seguir de cerca
Madurez del exploit
Prueba de concepto
Existe prueba de concepto pública, pero aún no automatizada.
CVSS —EPSS 69.0%KEV nãoPoC públicaNuclei —Metasploit —Patch —
Ciclo de vida
01 sep 2016Publicada en NVD
07 sep 2016PoC pública
Velocidad de armamento
5 díashasta el primer PoC
Armada rápidamente — los atacantes priorizaron esta vulnerabilidad. Corrige con urgencia.
Recomendación: Planificar corrección próxima — ya existe PoC pública.
The Office Open XML (OOXML) feature in Adobe ColdFusion 10 before Update 21 and 11 before Update 10 allows remote attackers to read arbitrary files or send TCP requests to intranet servers via a crafted OOXML spreadsheet containing an external entity declaration in conjunction with an entity reference, related to an XML External Entity (XXE) issue.
Productos afectados
n/a · n/aPoCs públicas encontradas — 2
cve_referencewww.exploit-db.com/exploits/40346/no verificadoexploitdbwww.exploit-db.com/exploits/40346no verificado⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
Referencias
http://legalhackers.com/advisories/Adobe-ColdFusion-11-XXE-Exploit-CVE-2016-4264.txthttps://helpx.adobe.com/security/products/coldfusion/apsb16-30.htmlhttps://www.exploit-db.com/exploits/40346/http://www.securityfocus.com/archive/1/539374/100/0/threadedhttp://www.securityfocus.com/bid/92684http://www.securitytracker.com/id/1036708