Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-07803

Опубликовано: 16 авг. 2024
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость функции parseProxyProtocolV1() класса ProxyProtocolReadListener веб-сервера Undertow связана с асинхронизацией запросов и ответов при обработке параметра StringBuilder. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации

Вендор

Red Hat Inc.

Наименование ПО

Red Hat Single Sign-On
Red Hat JBoss Enterprise Application Platform
Red Hat Build of Keycloak
undertow
Red Hat build of Apache Camel

Версия ПО

7 (Red Hat Single Sign-On)
7 (Red Hat JBoss Enterprise Application Platform)
- (Red Hat Build of Keycloak)
8 (Red Hat JBoss Enterprise Application Platform)
до 2.3.15 включительно (undertow)
4.4.2 (Red Hat build of Apache Camel)
3.20.7 (Red Hat build of Apache Camel)
- (Red Hat build of Apache Camel)

Тип ПО

Сетевое программное средство
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Undertow:
https://github.com/undertow-io/undertow/blob/2.3.17.Final/core/src/main/java/io/undertow/server/protocol/proxy/ProxyProtocolReadListener.java
https://github.com/undertow-io/undertow/commit/80c125e09068ac52ed0a9acde266ef12f8ed7ae1
Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-7885

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 91%
0.06348
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2024-7885

CVSS3: 7.5
ubuntu
больше 1 года назад

A vulnerability was found in Undertow where the ProxyProtocolReadListener reuses the same StringBuilder instance across multiple requests. This issue occurs when the parseProxyProtocolV1 method processes multiple requests on the same HTTP connection. As a result, different requests may share the same StringBuilder instance, potentially leading to information leakage between requests or responses. In some cases, a value from a previous request or response may be erroneously reused, which could lead to unintended data exposure. This issue primarily results in errors and connection termination but creates a risk of data leakage in multi-request environments.

redhat логотип

CVE-2024-7885

CVSS3: 7.5
redhat
больше 1 года назад

A vulnerability was found in Undertow where the ProxyProtocolReadListener reuses the same StringBuilder instance across multiple requests. This issue occurs when the parseProxyProtocolV1 method processes multiple requests on the same HTTP connection. As a result, different requests may share the same StringBuilder instance, potentially leading to information leakage between requests or responses. In some cases, a value from a previous request or response may be erroneously reused, which could lead to unintended data exposure. This issue primarily results in errors and connection termination but creates a risk of data leakage in multi-request environments.

nvd логотип

CVE-2024-7885

CVSS3: 7.5
nvd
больше 1 года назад

A vulnerability was found in Undertow where the ProxyProtocolReadListener reuses the same StringBuilder instance across multiple requests. This issue occurs when the parseProxyProtocolV1 method processes multiple requests on the same HTTP connection. As a result, different requests may share the same StringBuilder instance, potentially leading to information leakage between requests or responses. In some cases, a value from a previous request or response may be erroneously reused, which could lead to unintended data exposure. This issue primarily results in errors and connection termination but creates a risk of data leakage in multi-request environments.

debian логотип

CVE-2024-7885

CVSS3: 7.5
debian
больше 1 года назад

A vulnerability was found in Undertow where the ProxyProtocolReadListe ...

github логотип

GHSA-9623-mqmm-5rcf

CVSS3: 7.5
github
больше 1 года назад

Undertow vulnerable to Race Condition

EPSS

Процентиль: 91%
0.06348
Низкий

7.5 High

CVSS3

7.8 High

CVSS2