CVE-2009-3960
CVE-2009-3960
Vexday Risk Score
100Corrigir agora
Decisão SSVC (CISA)
Act
Exploração + impacto → ação imediata
Maturidade do exploit
Exploit funcional
Exploit automatizável disponível (Nuclei/Metasploit).
CVSS 6.5EPSS 90.0%KEV simPoC públicaNuclei —Metasploit simPatch —
Ciclo de vida
15 fev 2010Publicada no NVD
22 fev 2010PoC pública
07 mar 2022Exploração ativa (CISA KEV)
Velocidade de armamento
6 diasaté o primeiro PoC
4402 diasaté exploração ativa (KEV)
Armada rapidamente — atacantes priorizaram esta vulnerabilidade. Corrija com urgência.
Recomendação: Corrigir o quanto antes — há exploração ativa confirmada.
Em resumo
Uma falha no BlazeDS e produtos relacionados da Adobe permite que atacantes obtenham informações sensíveis manipulando requisições XML com tags injetadas e referências a entidades externas. Isso pode expor dados confidenciais se um invasor enviar uma requisição especialmente elaborada para o sistema afetado.
Detalhe técnico
Uma vulnerabilidade não especificada no BlazeDS 3.2 e versões anteriores (afetando LiveCycle, Flex Data Services e ColdFusion) permite que atacantes remotos recuperem informações sensíveis através de injeção de entidades externas XML (XXE) e injeção de tags. O ataque requer envio de uma requisição XML malformada, mas não necessita autenticação, permitindo divulgação de informações.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Unspecified vulnerability in BlazeDS 3.2 and earlier, as used in LiveCycle 8.0.1, 8.2.1, and 9.0, LiveCycle Data Services 2.5.1, 2.6.1, and 3.0, Flex Data Services 2.0.1, and ColdFusion 7.0.2, 8.0, 8.0.1, and 9.0, allows remote attackers to obtain sensitive information via vectors that are associated with a request, and related to injected tags and external entity references in XML documents.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
Produtos afetados
n/a · n/aPoCs públicas encontradas — 3
cve_referencewww.exploit-db.com/exploits/41855/não verificadoexploitdbwww.exploit-db.com/exploits/11529não verificadoexploitdbwww.exploit-db.com/exploits/41855não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Referências
http://secunia.com/advisories/38543http://securitytracker.com/id?1023584https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2009-3960https://www.exploit-db.com/exploits/41855/http://www.adobe.com/support/security/bulletins/apsb10-05.htmlhttp://www.osvdb.org/62292http://www.securityfocus.com/bid/38197