← voltar
CVE-2009-3960

CVE-2009-3960

CVSS 6.5 MEDIUMEPSS 90.0%● KEV
Vexday Risk Score
100Corrigir agora
Decisão SSVC (CISA)
Act
Exploração + impacto → ação imediata
Maturidade do exploit
Exploit funcional
Exploit automatizável disponível (Nuclei/Metasploit).
CVSS 6.5EPSS 90.0%KEV simPoC públicaNuclei Metasploit simPatch
Ciclo de vida
15 fev 2010Publicada no NVD
22 fev 2010PoC pública
07 mar 2022Exploração ativa (CISA KEV)
Velocidade de armamento
6 diasaté o primeiro PoC
4402 diasaté exploração ativa (KEV)
Armada rapidamente — atacantes priorizaram esta vulnerabilidade. Corrija com urgência.
Recomendação: Corrigir o quanto antes — há exploração ativa confirmada.
Em resumo

Uma falha no BlazeDS e produtos relacionados da Adobe permite que atacantes obtenham informações sensíveis manipulando requisições XML com tags injetadas e referências a entidades externas. Isso pode expor dados confidenciais se um invasor enviar uma requisição especialmente elaborada para o sistema afetado.

Detalhe técnico

Uma vulnerabilidade não especificada no BlazeDS 3.2 e versões anteriores (afetando LiveCycle, Flex Data Services e ColdFusion) permite que atacantes remotos recuperem informações sensíveis através de injeção de entidades externas XML (XXE) e injeção de tags. O ataque requer envio de uma requisição XML malformada, mas não necessita autenticação, permitindo divulgação de informações.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Unspecified vulnerability in BlazeDS 3.2 and earlier, as used in LiveCycle 8.0.1, 8.2.1, and 9.0, LiveCycle Data Services 2.5.1, 2.6.1, and 3.0, Flex Data Services 2.0.1, and ColdFusion 7.0.2, 8.0, 8.0.1, and 9.0, allows remote attackers to obtain sensitive information via vectors that are associated with a request, and related to injected tags and external entity references in XML documents.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
Produtos afetados
n/a · n/a
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.