Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2017-02034

Опубликовано: 11 апр. 2017
Источник: fstec
CVSS2: 5
EPSS Низкий

Описание

Уязвимость реализации HTTP/2 сервера приложений Apache Tomcat существует из-за неверного ограничения имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти проверки безопасности, используя специально сформированную ссылку URL

Вендор

Apache Software Foundation

Наименование ПО

Apache Tomcat

Версия ПО

8.5.0-8.5.15 (Apache Tomcat)
9.0.0.M1-9.0.0.M21 (Apache Tomcat)

Тип ПО

Сетевое программное средство

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Linux .
Сообщество свободного программного обеспечения Linux .
Apple Inc. Mac OS X
Microsoft Corp. Windows .
Microsoft Corp. Windows .
Apple Inc. Mac OS X

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://lists.apache.org/thread.html/d3a5818e8af731bde6a05ef031ed3acc093c6dd7c4bfcc4936eafd6c
%3Cannounce.tomcat.apache.org%3E

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 88%
0.03809
Низкий

5 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2017-7675

CVSS3: 7.5
ubuntu
почти 8 лет назад

The HTTP/2 implementation in Apache Tomcat 9.0.0.M1 to 9.0.0.M21 and 8.5.0 to 8.5.15 bypassed a number of security checks that prevented directory traversal attacks. It was therefore possible to bypass security constraints using a specially crafted URL.

redhat логотип

CVE-2017-7675

CVSS3: 7.5
redhat
почти 8 лет назад

The HTTP/2 implementation in Apache Tomcat 9.0.0.M1 to 9.0.0.M21 and 8.5.0 to 8.5.15 bypassed a number of security checks that prevented directory traversal attacks. It was therefore possible to bypass security constraints using a specially crafted URL.

nvd логотип

CVE-2017-7675

CVSS3: 7.5
nvd
почти 8 лет назад

The HTTP/2 implementation in Apache Tomcat 9.0.0.M1 to 9.0.0.M21 and 8.5.0 to 8.5.15 bypassed a number of security checks that prevented directory traversal attacks. It was therefore possible to bypass security constraints using a specially crafted URL.

debian логотип

CVE-2017-7675

CVSS3: 7.5
debian
почти 8 лет назад

The HTTP/2 implementation in Apache Tomcat 9.0.0.M1 to 9.0.0.M21 and 8 ...

github логотип

GHSA-68g5-8q7f-m384

CVSS3: 7.5
github
около 3 лет назад

Improper Limitation of a Pathname to a Restricted Directory in Apache Tomcat

EPSS

Процентиль: 88%
0.03809
Низкий

5 Medium

CVSS2