CVE-2009-3960
CVE-2009-3960
Em resumo
Uma falha no BlazeDS e produtos relacionados da Adobe permite que atacantes obtenham informações sensíveis manipulando requisições XML com tags injetadas e referências a entidades externas. Isso pode expor dados confidenciais se um invasor enviar uma requisição especialmente elaborada para o sistema afetado.
Detalhe técnico
Uma vulnerabilidade não especificada no BlazeDS 3.2 e versões anteriores (afetando LiveCycle, Flex Data Services e ColdFusion) permite que atacantes remotos recuperem informações sensíveis através de injeção de entidades externas XML (XXE) e injeção de tags. O ataque requer envio de uma requisição XML malformada, mas não necessita autenticação, permitindo divulgação de informações.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Unspecified vulnerability in BlazeDS 3.2 and earlier, as used in LiveCycle 8.0.1, 8.2.1, and 9.0, LiveCycle Data Services 2.5.1, 2.6.1, and 3.0, Flex Data Services 2.0.1, and ColdFusion 7.0.2, 8.0, 8.0.1, and 9.0, allows remote attackers to obtain sensitive information via vectors that are associated with a request, and related to injected tags and external entity references in XML documents.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
Produtos afetados
n/a · n/aPoCs públicas encontradas — 3
cve_referencewww.exploit-db.com/exploits/41855/não verificadoexploitdbwww.exploit-db.com/exploits/11529não verificadoexploitdbwww.exploit-db.com/exploits/41855não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
http://secunia.com/advisories/38543http://securitytracker.com/id?1023584https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2009-3960https://www.exploit-db.com/exploits/41855/http://www.adobe.com/support/security/bulletins/apsb10-05.htmlhttp://www.osvdb.org/62292http://www.securityfocus.com/bid/38197