Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-06637

Опубликовано: 30 окт. 2014
Источник: fstec
CVSS3: 5.3
CVSS2: 5
EPSS Низкий

Описание

Уязвимость программного средства Apache WSS4J и каркаса для веб-сервисов Apache CXF связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти процесс аутентификации

Вендор

IBM Corp.
Apache Software Foundation

Наименование ПО

Tivoli Business Service Manager
CXF
WSS4J

Версия ПО

6.2.0 (Tivoli Business Service Manager)
от 2.7.0 до 2.7.13 включительно (CXF)
от 3.0.0 до 3.0.2 (CXF)
до 1.6.17 (WSS4J)
от 2.0.0 до 2.0.2 (WSS4J)

Тип ПО

Прикладное ПО информационных систем
Программное средство защиты

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для программных продуктов Apache Software Foundation:
https://issues.apache.org/jira/browse/WSS-511
https://lists.apache.org/thread.html/r36e44ffc1a9b365327df62cdfaabe85b9a5637de102cea07d79b2dbf@%3Ccommits.cxf.apache.org%3E
https://lists.apache.org/thread.html/rc774278135816e7afc943dc9fc78eb0764f2c84a2b96470a0187315c@%3Ccommits.cxf.apache.org%3E
https://lists.apache.org/thread.html/rd49aabd984ed540c8ff7916d4d79405f3fa311d2fdbcf9ed307839a6@%3Ccommits.cxf.apache.org%3E
https://lists.apache.org/thread.html/rec7160382badd3ef4ad017a22f64a266c7188b9ba71394f0d321e2d4@%3Ccommits.cxf.apache.org%3E
https://lists.apache.org/thread.html/rfb87e0bf3995e7d560afeed750fac9329ff5f1ad49da365129b7f89e@%3Ccommits.cxf.apache.org%3E
https://lists.apache.org/thread.html/rff42cfa5e7d75b7c1af0e37589140a8f1999e578a75738740b244bd4@%3Ccommits.cxf.apache.org%3E
Для программных продуктов IBM Corp.:
https://www.ibm.com/support/pages/node/6826625

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 85%
0.0249
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

redhat логотип

CVE-2014-3623

redhat
больше 11 лет назад

Apache WSS4J before 1.6.17 and 2.x before 2.0.2, as used in Apache CXF 2.7.x before 2.7.13 and 3.0.x before 3.0.2, when using TransportBinding, does not properly enforce the SAML SubjectConfirmation method security semantics, which allows remote attackers to conduct spoofing attacks via unspecified vectors.

nvd логотип

CVE-2014-3623

nvd
больше 11 лет назад

Apache WSS4J before 1.6.17 and 2.x before 2.0.2, as used in Apache CXF 2.7.x before 2.7.13 and 3.0.x before 3.0.2, when using TransportBinding, does not properly enforce the SAML SubjectConfirmation method security semantics, which allows remote attackers to conduct spoofing attacks via unspecified vectors.

github логотип

GHSA-99v3-9x35-c5vf

github
больше 3 лет назад

Improper Authentication in Apache WSS4J

EPSS

Процентиль: 85%
0.0249
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2