CVE-2022-34305

Опубликовано: 23 июн. 2022

Источник: debian

EPSS Низкий

Описание

In Apache Tomcat 10.1.0-M1 to 10.1.0-M16, 10.0.0-M1 to 10.0.22, 9.0.30 to 9.0.64 and 8.5.50 to 8.5.81 the Form authentication example in the examples web application displayed user provided data without filtering, exposing a XSS vulnerability.

Пакеты

Пакет	Статус	Версия исправления	Релиз	Тип
tomcat9	fixed	9.0.65-1		package
tomcat8	removed			package

Примечания

https://lists.apache.org/thread/k04zk0nq6w57m72w5gb0r6z9ryhmvr4k
https://github.com/apache/tomcat/commit/8b60af90b99945379c2d1003277e0cabc6776bac (9.0.65)
https://github.com/apache/tomcat/commit/5f6c88b054b0e4fbccff8b7f15974ed55d59a9f7 (8.5.82)
Only an issue in the Form authentication example from the examples web application

EPSS

Процентиль: 82%

0.01749

Низкий

Связанные уязвимости

CVE-2022-34305

CVSS3: 6.1

ubuntu

почти 3 года назад

CVE-2022-34305

CVSS3: 5.4

redhat

почти 3 года назад

CVE-2022-34305

CVSS3: 6.1

nvd

почти 3 года назад

GHSA-6j88-6whg-x687

CVSS3: 6.1

github

почти 3 года назад

Cross-site Scripting in Apache Tomcat

BDU:2022-03746

CVSS3: 6.1

fstec

почти 3 года назад

Уязвимость в примерах проверки подлинности с помощью форм в примерах веб-приложений сервера приложений Apache Tomcat, позволяющая нарушителю провести атаку межсайтового скриптинга

EPSS

Процентиль: 82%

0.01749

Низкий