BDU:2016-01717

Опубликовано: 04 июл. 2016

Источник: fstec

CVSS2: 4.3

EPSS Низкий

Описание

Уязвимость сервера приложений WebSphere Application Server существует из-за неприятия мер по нейтрализации последовательностей CRLF (возврат каретки с переводом строки). Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, внедрить произвольные HTTP-заголовки с помощью специально сформированного URL

Вендор

IBM Corp.

Наименование ПО

WebSphere Application Server

Версия ПО

от 7.0 до 7.0.0.43 (WebSphere Application Server)

от 8.0 до 8.0.0.13 (WebSphere Application Server)

от 8.5 Full до 8.5.5.10 (WebSphere Application Server)

от 8.5 Liberty до Liberty Fix Pack 16.0.0.2 (WebSphere Application Server)

Тип ПО

Сетевое программное средство

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Linux .

Microsoft Corp Windows -

Oracle Corp. Solaris .

IBM Corp. IBM i .

IBM Corp. AIX .

HP Inc. HP-UX .

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)

Возможные меры по устранению уязвимости

Обновление программного средства до версии 7.0.0.43, 8.0.0.13, 8.5.5.10, 16.0.0.2 или новее

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 54%

0.00312

Низкий

4.3 Medium

CVSS2

Связанные уязвимости

CVE-2016-0359

CVSS3: 6.1

nvd

больше 9 лет назад

CRLF injection vulnerability in IBM WebSphere Application Server (WAS) 7.0 before 7.0.0.43, 8.0 before 8.0.0.13, 8.5 Full before 8.5.5.10, and 8.5 Liberty before Liberty Fix Pack 16.0.0.2 allows remote attackers to inject arbitrary HTTP headers and conduct HTTP response splitting attacks via a crafted URL.

GHSA-8p3w-97vg-66h2