Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-01759

Опубликовано: 28 фев. 2018
Источник: fstec
CVSS3: 5.9
CVSS2: 7.1
EPSS Низкий

Описание

Уязвимость сервера приложений Apache Tomcat связана с ошибками в настройках безопасности. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ к ресурсам веб-приложений

Вендор

Oracle Corp.
Apache Software Foundation

Наименование ПО

Managed File Transfer
Tomcat
FMW Platform
MICROS Relate CRM Software

Версия ПО

12.2.1.3.0 (Managed File Transfer)
12.1.3.0.0 (Managed File Transfer)
от 9.0.0.M1 до 9.0.4 включительно (Tomcat)
от 8.5.0 до 8.5.27 включительно (Tomcat)
от 8.0.0.RC1 до 8.0.49 включительно (Tomcat)
от 7.0.0 до 7.0.84 включительно (Tomcat)
12.2.1.3.0 (FMW Platform)
11.4 (MICROS Relate CRM Software)

Тип ПО

Прикладное ПО информационных систем
Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,9)

Возможные меры по устранению уязвимости

Для сервера приложений Apache Tomcat необходимо обновление программного обеспечения до более новой версии
Для продуктов Oracle использование рекомендаций:
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 77%
0.01044
Низкий

5.9 Medium

CVSS3

7.1 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2018-1304

CVSS3: 5.9
ubuntu
больше 7 лет назад

The URL pattern of "" (the empty string) which exactly maps to the context root was not correctly handled in Apache Tomcat 9.0.0.M1 to 9.0.4, 8.5.0 to 8.5.27, 8.0.0.RC1 to 8.0.49 and 7.0.0 to 7.0.84 when used as part of a security constraint definition. This caused the constraint to be ignored. It was, therefore, possible for unauthorised users to gain access to web application resources that should have been protected. Only security constraints with a URL pattern of the empty string were affected.

redhat логотип

CVE-2018-1304

CVSS3: 6.5
redhat
почти 8 лет назад

The URL pattern of "" (the empty string) which exactly maps to the context root was not correctly handled in Apache Tomcat 9.0.0.M1 to 9.0.4, 8.5.0 to 8.5.27, 8.0.0.RC1 to 8.0.49 and 7.0.0 to 7.0.84 when used as part of a security constraint definition. This caused the constraint to be ignored. It was, therefore, possible for unauthorised users to gain access to web application resources that should have been protected. Only security constraints with a URL pattern of the empty string were affected.

nvd логотип

CVE-2018-1304

CVSS3: 5.9
nvd
больше 7 лет назад

The URL pattern of "" (the empty string) which exactly maps to the context root was not correctly handled in Apache Tomcat 9.0.0.M1 to 9.0.4, 8.5.0 to 8.5.27, 8.0.0.RC1 to 8.0.49 and 7.0.0 to 7.0.84 when used as part of a security constraint definition. This caused the constraint to be ignored. It was, therefore, possible for unauthorised users to gain access to web application resources that should have been protected. Only security constraints with a URL pattern of the empty string were affected.

debian логотип

CVE-2018-1304

CVSS3: 5.9
debian
больше 7 лет назад

The URL pattern of "" (the empty string) which exactly maps to the con ...

github логотип

GHSA-6rxj-58jh-436r

CVSS3: 5.9
github
около 7 лет назад

Apache Tomcat unauthorized access vulnerability

EPSS

Процентиль: 77%
0.01044
Низкий

5.9 Medium

CVSS3

7.1 High

CVSS2