BDU:2015-12087

Опубликовано: 09 нояб. 2015

Источник: fstec

CVSS2: 4.3

EPSS Низкий

Описание

Уязвимость сервера приложений WebSphere Application Server связана с непринятием мер по обработке последовательностей CRLF в HTTP-заголовках. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, внедрить произвольные http-заголовки с помощью специально сформированного URL

Вендор

IBM Corp.

Наименование ПО

WebSphere Application Server

Версия ПО

от 6.1 до 6.1.0.47 включительно (WebSphere Application Server)

от 7.0 до 7.0.0.38 включительно (WebSphere Application Server)

от 8.0.0.0 до 8.0.0.11 включительно (WebSphere Application Server)

от 8.5.5.0 до 8.5.5.7 включительно (WebSphere Application Server)

Тип ПО

Сетевое программное средство

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Linux .

Microsoft Corp Windows -

Oracle Corp. Solaris .

IBM Corp. IBM i .

IBM Corp. AIX .

HP Inc. HP-UX .

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя, доступных по адресу: http://www-01.ibm.com/support/docview.wss?uid=swg21966837

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 57%

0.0035

Низкий

4.3 Medium

CVSS2

Связанные уязвимости

CVE-2015-2017

nvd

около 10 лет назад

CRLF injection vulnerability in IBM WebSphere Application Server (WAS) 6.1 through 6.1.0.47, 7.0 before 7.0.0.39, 8.0 before 8.0.0.12, and 8.5 before 8.5.5.8 allows remote attackers to inject arbitrary HTTP headers and conduct HTTP response splitting attacks via a crafted URL.

GHSA-8r6c-52gg-72c8