CVE-2014-3612

Опубликовано: 24 авг. 2015

Источник: nvd

CVSS2: 7.5

EPSS Низкий

Описание

The LDAPLoginModule implementation in the Java Authentication and Authorization Service (JAAS) in Apache ActiveMQ 5.x before 5.10.1 allows remote attackers to bypass authentication by logging in with an empty password and valid username, which triggers an unauthenticated bind. NOTE: this identifier has been SPLIT per ADT2 due to different vulnerability types. See CVE-2015-6524 for the use of wildcard operators in usernames.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:apache:activemq:5.0.0:*:*:*:*:*:*:*

cpe:2.3:a:apache:activemq:5.1.0:*:*:*:*:*:*:*

cpe:2.3:a:apache:activemq:5.2.0:*:*:*:*:*:*:*

cpe:2.3:a:apache:activemq:5.3.0:*:*:*:*:*:*:*

cpe:2.3:a:apache:activemq:5.3.1:*:*:*:*:*:*:*

cpe:2.3:a:apache:activemq:5.3.2:*:*:*:*:*:*:*

cpe:2.3:a:apache:activemq:5.4.0:*:*:*:*:*:*:*

cpe:2.3:a:apache:activemq:5.4.1:*:*:*:*:*:*:*

cpe:2.3:a:apache:activemq:5.4.2:*:*:*:*:*:*:*

cpe:2.3:a:apache:activemq:5.4.3:*:*:*:*:*:*:*

cpe:2.3:a:apache:activemq:5.5.0:*:*:*:*:*:*:*

cpe:2.3:a:apache:activemq:5.5.1:*:*:*:*:*:*:*

cpe:2.3:a:apache:activemq:5.6.0:*:*:*:*:*:*:*

cpe:2.3:a:apache:activemq:5.7.0:*:*:*:*:*:*:*

cpe:2.3:a:apache:activemq:5.8.0:*:*:*:*:*:*:*

cpe:2.3:a:apache:activemq:5.9.0:*:*:*:*:*:*:*

cpe:2.3:a:apache:activemq:5.9.1:*:*:*:*:*:*:*

cpe:2.3:a:apache:activemq:5.10.0:*:*:*:*:*:*:*

EPSS

Процентиль: 72%

0.00705

Низкий

7.5 High

CVSS2

Дефекты

CWE-287

Связанные уязвимости

CVE-2014-3612

ubuntu

больше 10 лет назад

CVE-2014-3612

redhat

около 11 лет назад

CVE-2014-3612

debian

больше 10 лет назад

The LDAPLoginModule implementation in the Java Authentication and Auth ...

GHSA-72m6-23ff-7q26

github

больше 3 лет назад

Improper Authentication in Apache WSS4J

BDU:2015-12089

fstec

больше 10 лет назад

Уязвимость программной платформы Apache ActiveMQ, позволяющая нарушителю обойти процедуру аутентификации

EPSS

Процентиль: 72%

0.00705

Низкий

7.5 High

CVSS2

Дефекты

CWE-287