BDU:2016-00613

Опубликовано: 25 фев. 2016

Источник: fstec

CVSS2: 6.8

EPSS Низкий

Описание

Уязвимость компонентов Manager и Host Manager сервера приложений Apache Tomcat связана с подделкой межсайтовых запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти механизм защиты CSRF при помощи токена

Вендор

Apache Software Foundation

Наименование ПО

Apache Tomcat

Версия ПО

от 9 до 9.0.0.M2 (Apache Tomcat)

от 7 до 7.0.68 (Apache Tomcat)

от 8 до 8.0.31 (Apache Tomcat)

Тип ПО

Сетевое программное средство

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Linux .

Apple Inc. Mac OS X

Microsoft Corp. Windows .

Apple Inc. Mac OS X

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)

Возможные меры по устранению уязвимости

Обновление программного средства до версии 7.0.68, 8.0.32, 9.0.0.M3 или более новой

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 84%

0.02344

Низкий

6.8 Medium

CVSS2

Связанные уязвимости

CVE-2015-5351

CVSS3: 8.8

ubuntu

больше 9 лет назад

The (1) Manager and (2) Host Manager applications in Apache Tomcat 7.x before 7.0.68, 8.x before 8.0.31, and 9.x before 9.0.0.M2 establish sessions and send CSRF tokens for arbitrary new requests, which allows remote attackers to bypass a CSRF protection mechanism by using a token.

CVE-2015-5351

CVSS3: 8.8

redhat

больше 9 лет назад

CVE-2015-5351

CVSS3: 8.8

nvd

больше 9 лет назад

CVE-2015-5351

CVSS3: 8.8

debian

больше 9 лет назад

The (1) Manager and (2) Host Manager applications in Apache Tomcat 7.x ...

GHSA-w7cg-5969-678w

CVSS3: 8.8

github

около 3 лет назад

Apache Tomcat allows remote attackers to bypass a CSRF protection mechanism by using a token

EPSS

Процентиль: 84%

0.02344

Низкий

6.8 Medium

CVSS2