Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-03337

Опубликовано: 01 апр. 2014
Источник: fstec
CVSS3: 6.3
CVSS2: 7.5
EPSS Критический

Описание

Уязвимость файла MultipartStream.java библиотеки Apache Commons FileUpload связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с помощью созданного заголовка Content-Type, который обходит предполагаемые условия выхода из цикла

Вендор

IBM Corp.
Apache Software Foundation

Наименование ПО

Tivoli Business Service Manager
Commons FileUpload
Apache Tomcat

Версия ПО

6.2.0 (Tivoli Business Service Manager)
до 1.3.1 (Commons FileUpload)
от 7.0.0 до 7.0.50 включительно (Apache Tomcat)
8.0.0:rc1 (Apache Tomcat)
8.0.0:rc10 (Apache Tomcat)
8.0.0:rc2 (Apache Tomcat)
8.0.0:rc5 (Apache Tomcat)
8.0.1 (Apache Tomcat)

Тип ПО

Прикладное ПО информационных систем
Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Apache:
http://svn.apache.org/viewvc?view=revision&revision=1565143
http://tomcat.apache.org/security-7.html
http://tomcat.apache.org/security-8.html
Для программных продуктов IBM Corp.:
https://www.ibm.com/blogs/psirt/security-bulletin-multiple-apache-commons-fileupload-vulnerabilities-affects-ibm-tivoli-business-service-manager-cve-2014-0034-cve-2014-0050-cve-2013-2186-cve-2016-3092/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%
0.92594
Критический

6.3 Medium

CVSS3

7.5 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2014-0050

ubuntu
около 11 лет назад

MultipartStream.java in Apache Commons FileUpload before 1.3.1, as used in Apache Tomcat, JBoss Web, and other products, allows remote attackers to cause a denial of service (infinite loop and CPU consumption) via a crafted Content-Type header that bypasses a loop's intended exit conditions.

redhat логотип

CVE-2014-0050

redhat
больше 11 лет назад

MultipartStream.java in Apache Commons FileUpload before 1.3.1, as used in Apache Tomcat, JBoss Web, and other products, allows remote attackers to cause a denial of service (infinite loop and CPU consumption) via a crafted Content-Type header that bypasses a loop's intended exit conditions.

nvd логотип

CVE-2014-0050

nvd
около 11 лет назад

MultipartStream.java in Apache Commons FileUpload before 1.3.1, as used in Apache Tomcat, JBoss Web, and other products, allows remote attackers to cause a denial of service (infinite loop and CPU consumption) via a crafted Content-Type header that bypasses a loop's intended exit conditions.

debian логотип

CVE-2014-0050

debian
около 11 лет назад

MultipartStream.java in Apache Commons FileUpload before 1.3.1, as use ...

github логотип

GHSA-xx68-jfcg-xmmf

github
больше 6 лет назад

Commons FileUpload Denial of service vulnerability

EPSS

Процентиль: 100%
0.92594
Критический

6.3 Medium

CVSS3

7.5 High

CVSS2