← volver
CVE-2009-3960

CVE-2009-3960

CVSS 6.5 MEDIUMEPSS 90.1%● KEV
En resumen

Una falla en BlazeDS y productos relacionados de Adobe permite que atacantes obtengan información sensible manipulando solicitudes XML con etiquetas inyectadas y referencias a entidades externas. Esto podría exponer datos confidenciales si un atacante envía una solicitud especialmente elaborada al sistema afectado.

Detalle técnico

Una vulnerabilidad no especificada en BlazeDS 3.2 y versiones anteriores (afectando LiveCycle, Flex Data Services y ColdFusion) permite que atacantes remotos recuperen información sensible mediante inyección de entidades externas XML (XXE) e inyección de etiquetas. El ataque requiere envío de una solicitud XML malformada pero no necesita autenticación, permitiendo divulgación de información.

Resumen generado y traducido por IA a partir de la descripción oficial.
Unspecified vulnerability in BlazeDS 3.2 and earlier, as used in LiveCycle 8.0.1, 8.2.1, and 9.0, LiveCycle Data Services 2.5.1, 2.6.1, and 3.0, Flex Data Services 2.0.1, and ColdFusion 7.0.2, 8.0, 8.0.1, and 9.0, allows remote attackers to obtain sensitive information via vectors that are associated with a request, and related to injected tags and external entity references in XML documents.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
Productos afectados
n/a · n/a
PoCs públicas encontradas3
cve_referencewww.exploit-db.com/exploits/41855/no verificadoexploitdbwww.exploit-db.com/exploits/11529no verificadoexploitdbwww.exploit-db.com/exploits/41855no verificado
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
http://secunia.com/advisories/38543http://securitytracker.com/id?1023584https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2009-3960https://www.exploit-db.com/exploits/41855/http://www.adobe.com/support/security/bulletins/apsb10-05.htmlhttp://www.osvdb.org/62292http://www.securityfocus.com/bid/38197