Trusted Design

CVE-2009-3960 の詳細

CVEの情報

説明:
Unspecified vulnerability in BlazeDS 3.2 and earlier, as used in LiveCycle 8.0.1, 8.2.1, and 9.0, LiveCycle Data Services 2.5.1, 2.6.1, and 3.0, Flex Data Services 2.0.1, and ColdFusion 7.0.2, 8.0, 8.0.1, and 9.0, allows remote attackers to obtain sensitive information via vectors that are associated with a request, and related to injected tags and external entity references in XML documents.

CVE更新日: 2010-02-15 18:30:00.407000

CVSSバージョン: 3.1

CVSSスコア: 6.5

KEVの情報

KEV更新日: 2022-03-07

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.901070000

EPSS更新日: 2026-04-16 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。

Exploitation: active

Technical Impact: high

Automatable: False

AIを使った解説

解説:

CVE-2009-3960について、以下の観点から解説します。

1. 脆弱性の概要

Adobe BlazeDS 3.2およびそれ以前のバージョン、ならびにAdobe LiveCycle、LiveCycle Data Services、Flex Data Services、ColdFusionといった複数のAdobe製品で使用されるBlazeDSに存在する、特定されていない脆弱性です。この脆弱性は、XMLドキュメントにおけるタグの挿入や外部エンティティの参照に関連しており、XML External Entity (XXE) およびXMLインジェクションの脆弱性として知られています。

1.1 影響

この脆弱性が悪用されると、リモートの攻撃者により機密情報が取得される可能性があります。具体的には、BlazeDSを実行しているサーバープロセスが読み取り可能なファイルへのアクセスや、ローカルファイルの開示、TCPスキャン、再帰的なエンティティ挿入などによるサービス拒否(DoS)状態を引き起こす可能性があります。この脆弱性は、Ghostランサムウェアキャンペーンの一部として悪用された事例も確認されています。

1.2 深刻度

  • CVSS v3 基本評価値: 6.5 (警告)
    • 攻撃元区分: ネットワーク
    • 攻撃条件の複雑さ: 低
    • 攻撃に必要な特権レベル: 不要
    • 利用者の関与: 要
    • 機密性への影響: 高
    • 完全性への影響: なし
    • 可用性への影響: なし
  • CVSS v2 基本評価値: 4.3 (警告)
    • 攻撃元区分: ネットワーク
    • 攻撃条件の複雑さ: 中
    • 攻撃前の認証要否: 不要
    • 機密性への影響: 部分的
    • 完全性への影響: なし
    • 可用性への影響: なし
  • 定性的な深刻度: 中

2. 対象となる環境

2.1 影響を受けるOSバージョン

この脆弱性は特定のOSバージョンではなく、以下のAdobe製品およびそのバージョンに影響を及ぼします。 * Adobe BlazeDS 3.2 およびそれ以前 * Adobe LiveCycle 8.0.1, 8.2.1, および 9.0 * Adobe LiveCycle Data Services 2.5.1, 2.6.1, および 3.0 * Adobe Flex Data Services 2.0.1 * Adobe ColdFusion 7.0.2, 8.0, 8.0.1, および 9.0

2.2 影響を受ける設定

Data Services Messagingクラスの一部であるflex-messaging-common.jarに含まれるHTTPChannelサーブレットクラス(mx.messaging.channels.HTTPChannelおよびmx.messaging.channels.SecureHTTPChannel)が影響を受けます。これらのHTTPChannelエンドポイントは、アプリケーションのFlex/WEB-INFフォルダー内にあるservices-config.xmlファイルで定義されています。

3. 影響を受けた時の兆候

  • 機密情報やファイルへの不正なアクセスが確認される場合があります。
  • ランサムウェアに感染した場合、システムの乗っ取り、データの暗号化、身代金の要求などの兆候が現れます。
  • 再帰的なエンティティ挿入により、サービス拒否(DoS)状態が発生することがあります。
  • 影響を受けたサーバーから異常なネットワークトラフィック(TCPスキャンなど)が検出される可能性があります。

4. 推奨対策

4.1 本対策

ベンダーから提供されている公式のパッチやアップデートを適用してください。 * Adobe Security Bulletin: APSB10-05

4.2 暫定回避策(緩和策)

このCVEに対する特定の暫定回避策については、情報が公開されていません。一般的にXXE脆弱性に対する緩和策としては、XMLパーサーでDTDの処理や外部エンティティの解決を無効化するなどの方法が考えられますが、本脆弱性に関するAdobeからの公式な暫定回避策は不明です。

他に解説すべき観点

  • 公開日:
    • NVDでの公開日: 2010年2月15日
    • JVN iPediaでの公表日: 2010年2月11日
  • 悪用状況:
    • この脆弱性を悪用する公開されたエクスプロイトが存在します。
    • パッチが適用されていないシステムを標的とするGhostランサムウェアなどのキャンペーンで悪用されていることが確認されています。

参照したサイト

NVDサイト

NVDでCVEの詳細を見る

戻る