Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-04618

Опубликовано: 06 мая 2021
Источник: fstec
CVSS3: 5.3
CVSS2: 5
EPSS Низкий

Описание

Уязвимость WAF движка для Apache ModSecurity связана с некорректным разбором данных в виде пар ключ-значение. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Сообщество свободного программного обеспечения
SpiderLabs

Наименование ПО

Debian GNU/Linux
ModSecurity

Версия ПО

9 (Debian GNU/Linux)
8 (Debian GNU/Linux)
10 (Debian GNU/Linux)
от 3.0.0 до 3.0.4 (ModSecurity)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
Сообщество свободного программного обеспечения Debian GNU/Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Для ModSecurity:
использование рекомендаций производителя: https://github.com/SpiderLabs/ModSecurity/issues/2566
Для ОС Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2019-25043

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 59%
0.00382
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-25043

CVSS3: 5.3
ubuntu
почти 5 лет назад

ModSecurity 3.x before 3.0.4 mishandles key-value pair parsing, as demonstrated by a "string index out of range" error and worker-process crash for a "Cookie: =abc" header.

nvd логотип

CVE-2019-25043

CVSS3: 5.3
nvd
почти 5 лет назад

ModSecurity 3.x before 3.0.4 mishandles key-value pair parsing, as demonstrated by a "string index out of range" error and worker-process crash for a "Cookie: =abc" header.

debian логотип

CVE-2019-25043

CVSS3: 5.3
debian
почти 5 лет назад

ModSecurity 3.x before 3.0.4 mishandles key-value pair parsing, as dem ...

github логотип

GHSA-p89w-8r2h-7mjp

CVSS3: 5.3
github
больше 3 лет назад

ModSecurity 3.x before 3.0.4 mishandles key-value pair parsing, as demonstrated by a "string index out of range" error and worker-process crash for a "Cookie: =abc" header.

EPSS

Процентиль: 59%
0.00382
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2