Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-05180

Опубликовано: 01 апр. 2020
Источник: fstec
CVSS3: 5.3
CVSS2: 5.7
EPSS Низкий

Описание

Уязвимость каркаса для веб-сервисов Apache CXF связана с ошибками при установлении соединения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционрованный доступ к защищаемой информации

Вендор

Oracle Corp.
Red Hat Inc.
Apache Software Foundation

Наименование ПО

PeopleSoft Enterprise PeopleTools
Red Hat JBoss Fuse
OpenShift Application Runtimes
Oracle Communications Element Manager
Oracle Communications Session Report Manager
Oracle Communications Session Route Manager
CXF
Enterprise Manager Base Platform

Версия ПО

8.56 (PeopleSoft Enterprise PeopleTools)
7 (Red Hat JBoss Fuse)
- (OpenShift Application Runtimes)
от 8.2.0 до 8.2.2 включительно (Oracle Communications Element Manager)
от 8.2.0 до 8.2.2 включительно (Oracle Communications Session Report Manager)
от 8.2.0 до 8.2.2 включительно (Oracle Communications Session Route Manager)
до 3.2.13 (CXF)
от 3.3.0 до 3.3.6 (CXF)
13.2.1.0 (Enterprise Manager Base Platform)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,7)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Apache CXF:
http://cxf.apache.org/security-advisories.data/CVE-2020-1954.txt.asc?version=1&modificationDate=1585730169000&api=v2
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuoct2020.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-1954

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 44%
0.00216
Низкий

5.3 Medium

CVSS3

5.7 Medium

CVSS2

Связанные уязвимости

redhat логотип

CVE-2020-1954

CVSS3: 5.3
redhat
почти 6 лет назад

Apache CXF has the ability to integrate with JMX by registering an InstrumentationManager extension with the CXF bus. If the ‘createMBServerConnectorFactory‘ property of the default InstrumentationManagerImpl is not disabled, then it is vulnerable to a man-in-the-middle (MITM) style attack. An attacker on the same host can connect to the registry and rebind the entry to another server, thus acting as a proxy to the original. They are then able to gain access to all of the information that is sent and received over JMX.

nvd логотип

CVE-2020-1954

CVSS3: 5.3
nvd
почти 6 лет назад

Apache CXF has the ability to integrate with JMX by registering an InstrumentationManager extension with the CXF bus. If the ‘createMBServerConnectorFactory‘ property of the default InstrumentationManagerImpl is not disabled, then it is vulnerable to a man-in-the-middle (MITM) style attack. An attacker on the same host can connect to the registry and rebind the entry to another server, thus acting as a proxy to the original. They are then able to gain access to all of the information that is sent and received over JMX.

github логотип

GHSA-ffm7-7r8g-77xm

CVSS3: 5.3
github
почти 4 года назад

Apache CXF JMX Integration is vulnerable to a MITM attack

EPSS

Процентиль: 44%
0.00216
Низкий

5.3 Medium

CVSS3

5.7 Medium

CVSS2