CVE-2015-7645
CVE-2015-7645
Vexday Risk Score
83Corrigir agora
Decisão SSVC (CISA)
Act
Exploração + impacto → ação imediata
Maturidade do exploit
Prova de conceito
Existe prova de conceito pública, mas ainda não automatizada.
CVSS 7.8EPSS 68.4%KEV simPoC públicaNuclei —Metasploit —Patch referenciado
Ciclo de vida
15 out 2015Publicada no NVD
19 out 2015PoC pública
03 mar 2022Exploração ativa (CISA KEV)
Velocidade de armamento
4 diasaté o primeiro PoC
2331 diasaté exploração ativa (KEV)
Armada rapidamente — atacantes priorizaram esta vulnerabilidade. Corrija com urgência.
Recomendação: Corrigir o quanto antes — há exploração ativa confirmada.
Em resumo
O Adobe Flash Player possui uma falha que permite que atacantes executem código malicioso no seu computador ao enganá-lo para abrir um arquivo Flash manipulado. Essa vulnerabilidade foi explorada em ataques reais em outubro de 2015.
Detalhe técnico
Vulnerabilidade de execução remota de código no Adobe Flash Player (versões 18.x-18.0.0.252, 19.x-19.0.0.207 em Windows/OS X; 11.x-11.2.202.535 em Linux) acionada por arquivo SWF malicioso. O ataque requer interação do usuário para abrir o arquivo manipulado; a exploração bem-sucedida resulta em execução de código arbitrário com privilégios do usuário.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Adobe Flash Player 18.x through 18.0.0.252 and 19.x through 19.0.0.207 on Windows and OS X and 11.x through 11.2.202.535 on Linux allows remote attackers to execute arbitrary code via a crafted SWF file, as exploited in the wild in October 2015.
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Produtos afetados
n/a · n/aPoCs públicas encontradas — 3
cve_referencepacketstormsecurity.com/files/134009/Adobe-Flash-IExternalizable.writeExternal-Type-Confusion.htmlnão verificadocve_referencewww.exploit-db.com/exploits/38490/não verificadoexploitdbwww.exploit-db.com/exploits/38490não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Referências
http://blog.trendmicro.com/trendlabs-security-intelligence/new-adobe-flash-zero-day-used-in-pawn-storm-campaign/http://lists.opensuse.org/opensuse-security-announce/2015-10/msg00015.htmlhttp://lists.opensuse.org/opensuse-security-announce/2015-10/msg00016.htmlhttp://lists.opensuse.org/opensuse-security-announce/2015-10/msg00017.htmlhttp://lists.opensuse.org/opensuse-security-announce/2015-10/msg00018.htmlhttp://packetstormsecurity.com/files/134009/Adobe-Flash-IExternalizable.writeExternal-Type-Confusion.htmlhttp://rhn.redhat.com/errata/RHSA-2015-1913.htmlhttp://rhn.redhat.com/errata/RHSA-2015-2024.htmlhttps://helpx.adobe.com/security/products/flash-player/apsa15-05.htmlhttps://helpx.adobe.com/security/products/flash-player/apsb15-27.htmlhttps://security.gentoo.org/glsa/201511-02https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2015-7645