Описание
Уязвимость фильтра LDAP системы построения CDN-сети Apache Traffic Control существует из-за непринятия мер по нейтрализации специальных элементов.. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды в целевой системе посредством отправки специально сформированного POST запроса
Вендор
Apache Software Foundation
Наименование ПО
Traffic Control
Версия ПО
от 5.1.0 до 5.1.4 (Traffic Control)
от 6.0.0 до 6.0.1 (Traffic Control)
5.1.4 RC0 (Traffic Control)
6.0.1 RC0 (Traffic Control)
Тип ПО
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
http://www.openwall.com/lists/oss-security/2021/11/11/3
http://www.openwall.com/lists/oss-security/2021/11/11/4
http://www.openwall.com/lists/oss-security/2021/11/17/1
https://trafficcontrol.apache.org/security/
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 79%
0.01299
Низкий
9.8 Critical
CVSS3
10 Critical
CVSS2
Связанные уязвимости
CVSS3: 9.8
nvd
около 4 лет назад
An unauthenticated Apache Traffic Control Traffic Ops user can send a request with a specially-crafted username to the POST /login endpoint of any API version to inject unsanitized content into the LDAP filter.
CVSS3: 9.8
github
больше 3 лет назад
Apache Traffic Control Traffic Ops Vulnerable to LDAP Injection
EPSS
Процентиль: 79%
0.01299
Низкий
9.8 Critical
CVSS3
10 Critical
CVSS2