Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-05017

Опубликовано: 06 мар. 2025
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость механизма PSL validation клиентского модуля Apache HttpClient средства Apache HttpComponents связана с ошибками процедуры подтверждения подлинности сертификата. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить CSRF-атаку

Вендор

Apache Software Foundation

Наименование ПО

Apache HttpClient

Версия ПО

до 5.4.3 (Apache HttpClient)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование межсетевого экрана уровня приложений (WAF) для фильтрации сетевого трафика;
- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимости;
- использование «белого» списка IP-адресов для ограничения доступа к уязвимому программному обеспечению;
- использование SIEM-систем для отслеживания попыток эксплуатации уязвимости.
Использование рекомендаций:
https://github.com/apache/httpcomponents-client/pull/621

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 12%
0.00043
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2025-27820

CVSS3: 7.5
ubuntu
5 месяцев назад

A bug in PSL validation logic in Apache HttpClient 5.4.x disables domain checks, affecting cookie management and host name verification. Discovered by the Apache HttpClient team. Fixed in the 5.4.3 release

redhat логотип

CVE-2025-27820

CVSS3: 6.5
redhat
5 месяцев назад

A bug in PSL validation logic in Apache HttpClient 5.4.x disables domain checks, affecting cookie management and host name verification. Discovered by the Apache HttpClient team. Fixed in the 5.4.3 release

nvd логотип

CVE-2025-27820

CVSS3: 7.5
nvd
5 месяцев назад

A bug in PSL validation logic in Apache HttpClient 5.4.x disables domain checks, affecting cookie management and host name verification. Discovered by the Apache HttpClient team. Fixed in the 5.4.3 release

debian логотип

CVE-2025-27820

CVSS3: 7.5
debian
5 месяцев назад

A bug in PSL validation logic in Apache HttpClient 5.4.x disables doma ...

github логотип

GHSA-73m2-qfq3-56cx

CVSS3: 7.5
github
5 месяцев назад

Apache HttpClient disables domain checks

EPSS

Процентиль: 12%
0.00043
Низкий

7.5 High

CVSS3

7.8 High

CVSS2