Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2015-10929

Опубликовано: 20 июл. 2015
Источник: fstec
CVSS2: 4.3
EPSS Низкий

Описание

Уязвимость функции ap_some_auth_required компонента server/request.c веб-сервера Apache HTTP Server связана с недостатками разграничения доступа к некоторым функциям. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти существующие ограничения доступа из-за особенностей работы интерфейса API 2.2

Вендор

Apache Software Foundation

Наименование ПО

Apache HTTP Server

Версия ПО

от 2.4.0 до 2.4.14 (Apache HTTP Server)

Тип ПО

Сетевое программное средство

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Linux .
Сообщество свободного программного обеспечения Linux .
Apple Inc. Mac OS .
Apple Inc. Mac OS .
Microsoft Corp. Windows .
Microsoft Corp. Windows .
Computer Science Research Group BSD .
Computer Science Research Group BSD .
Novell Inc. Novell Netware .
Novell Inc. Novell Netware .
Be Inc. BeOS .
Be Inc. BeOS .

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
http://httpd.apache.org/security/vulnerabilities_24.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 91%
0.06515
Низкий

4.3 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2015-3185

ubuntu
около 10 лет назад

The ap_some_auth_required function in server/request.c in the Apache HTTP Server 2.4.x before 2.4.14 does not consider that a Require directive may be associated with an authorization setting rather than an authentication setting, which allows remote attackers to bypass intended access restrictions in opportunistic circumstances by leveraging the presence of a module that relies on the 2.2 API behavior.

redhat логотип

CVE-2015-3185

CVSS3: 3.7
redhat
около 10 лет назад

The ap_some_auth_required function in server/request.c in the Apache HTTP Server 2.4.x before 2.4.14 does not consider that a Require directive may be associated with an authorization setting rather than an authentication setting, which allows remote attackers to bypass intended access restrictions in opportunistic circumstances by leveraging the presence of a module that relies on the 2.2 API behavior.

nvd логотип

CVE-2015-3185

nvd
около 10 лет назад

The ap_some_auth_required function in server/request.c in the Apache HTTP Server 2.4.x before 2.4.14 does not consider that a Require directive may be associated with an authorization setting rather than an authentication setting, which allows remote attackers to bypass intended access restrictions in opportunistic circumstances by leveraging the presence of a module that relies on the 2.2 API behavior.

debian логотип

CVE-2015-3185

debian
около 10 лет назад

The ap_some_auth_required function in server/request.c in the Apache H ...

github логотип

GHSA-5fv4-m5x3-j32p

github
больше 3 лет назад

The ap_some_auth_required function in server/request.c in the Apache HTTP Server 2.4.x before 2.4.14 does not consider that a Require directive may be associated with an authorization setting rather than an authentication setting, which allows remote attackers to bypass intended access restrictions in opportunistic circumstances by leveraging the presence of a module that relies on the 2.2 API behavior.

EPSS

Процентиль: 91%
0.06515
Низкий

4.3 Medium

CVSS2