BDU:2019-02075

Опубликовано: 05 апр. 2019

Источник: fstec

CVSS3: 10

CVSS2: 7.5

EPSS Низкий

Описание

Уязвимость сетевого программного средства Envoy связана с ошибками при нормализации URI-адресов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемым данным

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

Envoy

Версия ПО

1.9.0 (Envoy)

Тип ПО

Сетевое программное средство

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 10)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://access.redhat.com/errata/RHSA-2019:0741

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2019-9901
CVE

EPSS

Процентиль: 27%

0.00095

Низкий

10 Critical

CVSS3

7.5 High

CVSS2

Связанные уязвимости

CVE-2019-9901

CVSS3: 8.3

redhat

почти 7 лет назад

Envoy 1.9.0 and before does not normalize HTTP URL paths. A remote attacker may craft a relative path, e.g., something/../admin, to bypass access control, e.g., a block on /admin. A backend server could then interpret the non-normalized path and provide an attacker access beyond the scope provided for by the access control policy.

CVE-2019-9901

CVSS3: 6.5

nvd