GHSA-f632-9449-3j4w

Опубликовано: 18 нояб. 2024

Источник: github

Github: Прошло ревью

CVSS3: 6.1

Описание

Apache Tomcat - XSS in generated JSPs

Description:

The fix for improvement 69333 caused pooled JSP tags not to be released after use which in turn could cause output of some tags not to escaped as expected. This unescaped output could lead to XSS.

Versions Affected:

Apache Tomcat 11.0.0
Apache Tomcat 10.1.31
Apache Tomcat 9.0.96

Mitigation:

Users of the affected versions should apply one of the following mitigations:

Upgrade to Apache Tomcat 11.0.1 or later
Upgrade to Apache Tomcat 10.1.33 or later Note: 10.1.32 was not released
Upgrade to Apache Tomcat 9.0.97 or later

Ссылки

Пакеты

Наименование

org.apache.tomcat:tomcat-jasper

maven

Затронутые версииВерсия исправления

= 11.0.0

11.0.1

Наименование

org.apache.tomcat:tomcat-jasper

maven

Затронутые версииВерсия исправления

= 10.1.31

10.1.32

Наименование

org.apache.tomcat:tomcat-jasper

maven

Затронутые версииВерсия исправления

= 9.0.96

9.0.97

EPSS

Процентиль: 80%

0.01518

Низкий

6.1 Medium

CVSS3

CVE ID

CVE-2024-52318

Дефекты

CWE-326

Связанные уязвимости

CVE-2024-52318

CVSS3: 6.1

ubuntu

7 месяцев назад

Incorrect object recycling and reuse vulnerability in Apache Tomcat. This issue affects Apache Tomcat: 11.0.0, 10.1.31, 9.0.96. Users are recommended to upgrade to version 11.0.1, 10.1.32 or 9.0.97, which fixes the issue.

CVE-2024-52318

CVSS3: 5.4

redhat

7 месяцев назад

CVE-2024-52318

CVSS3: 6.1

nvd

7 месяцев назад

CVE-2024-52318

CVSS3: 6.1

debian

7 месяцев назад

Incorrect object recycling and reuse vulnerability in Apache Tomcat. ...

BDU:2024-10290

CVSS3: 6.1

fstec

7 месяцев назад

Уязвимость сервера приложений Apache Tomcat, связанная с недостаточно стойким шифрованием данных, позволяющая нарушителю провести атаку межсайтового скриптинга (XSS)

EPSS

Процентиль: 80%

0.01518

Низкий

6.1 Medium

CVSS3

CVE ID

CVE-2024-52318

Дефекты

CWE-326