BDU:2016-00944

Опубликовано: 01 апр. 2016

Источник: fstec

CVSS2: 5

EPSS Средний

Описание

Уязвимость Java-сервера приложений WildFly связана с использованием неполного чёрного списка. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, прочитать конфиденциальные файлы в WEB-INF или META-INF директории при помощи запроса, содержащего символы в нижнем регистре или "бессмысленные" символы

Вендор

Red Hat Inc.

Наименование ПО

WildFly

Версия ПО

до 10.0.0 (WildFly)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Linux .

Microsoft Corp Windows -

Oracle Corp. Solaris .

HP Inc. HP-UX .

Microsoft Corp Windows -

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)

Возможные меры по устранению уязвимости

Обновление программного средства до версии 10.0.0 или новее

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0793
CVE
http://www.exploit-db.com/exploits/39573/
Exploit Database

EPSS

Процентиль: 97%

0.35266

Средний

5 Medium

CVSS2

Связанные уязвимости

CVE-2016-0793

redhat

почти 10 лет назад

Incomplete blacklist vulnerability in the servlet filter restriction mechanism in WildFly (formerly JBoss Application Server) before 10.0.0.Final on Windows allows remote attackers to read the sensitive files in the (1) WEB-INF or (2) META-INF directory via a request that contains (a) lowercase or (b) "meaningless" characters.

CVE-2016-0793

CVSS3: 7.5

nvd

почти 10 лет назад

GHSA-9q87-22gr-r8qf