CVE-2018-12538

Опубликовано: 22 июн. 2018

Источник: nvd

CVSS3: 8.8

CVSS2: 6.5

EPSS Низкий

Описание

In Eclipse Jetty versions 9.4.0 through 9.4.8, when using the optional Jetty provided FileSessionDataStore for persistent storage of HttpSession details, it is possible for a malicious user to access/hijack other HttpSessions and even delete unmatched HttpSessions present in the FileSystem's storage for the FileSessionDataStore.

Ссылки

http://www.securitytracker.com/id/1041194
Third Party Advisory
VDB Entry
https://bugs.eclipse.org/bugs/show_bug.cgi?id=536018
Issue Tracking
Vendor Advisory
https://lists.apache.org/thread.html/r1b103833cb5bc8466e24ff0ecc5e75b45a705334ab6a444e64e840a0%40%3Cissues.bookkeeper.apache.org%3E
https://security.netapp.com/advisory/ntap-20181014-0001/
Third Party Advisory
https://www.oracle.com/security-alerts/cpuoct2020.html
https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html
http://www.securitytracker.com/id/1041194
Third Party Advisory
VDB Entry
https://bugs.eclipse.org/bugs/show_bug.cgi?id=536018
Issue Tracking
Vendor Advisory
https://lists.apache.org/thread.html/r1b103833cb5bc8466e24ff0ecc5e75b45a705334ab6a444e64e840a0%40%3Cissues.bookkeeper.apache.org%3E
https://security.netapp.com/advisory/ntap-20181014-0001/
Third Party Advisory
https://www.oracle.com/security-alerts/cpuoct2020.html
https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:eclipse:jetty:*:*:*:*:*:*:*:*

Версия от 9.4.0 (включая) до 9.4.8 (включая)

Конфигурация 2

Одно из

cpe:2.3:a:netapp:e-series_santricity_management_plug-ins:-:*:*:*:*:*:*:*

cpe:2.3:a:netapp:e-series_santricity_os_controller:*:*:*:*:*:*:*:*

Версия от 11.0 (включая) до 11.40 (включая)

cpe:2.3:a:netapp:e-series_santricity_web_services_proxy:-:*:*:*:*:*:*:*

cpe:2.3:a:netapp:element_software:-:*:*:*:*:*:*:*

cpe:2.3:a:netapp:hyper_converged_infrastructure:-:*:*:*:*:*:*:*

cpe:2.3:a:netapp:oncommand_system_manager:*:*:*:*:*:*:*:*

Версия от 3.0.0 (включая) до 3.1.3 (включая)

cpe:2.3:a:netapp:oncommand_unified_manager:-:*:*:*:*:*:*:*

cpe:2.3:a:netapp:santricity_cloud_connector:-:*:*:*:*:*:*:*

cpe:2.3:a:netapp:snap_creator_framework:-:*:*:*:*:*:*:*

cpe:2.3:a:netapp:snapcenter:-:*:*:*:*:*:*:*

cpe:2.3:a:netapp:snapmanager:-:*:*:*:*:*:*:*

EPSS

Процентиль: 66%

0.00515

Низкий

8.8 High

CVSS3

6.5 Medium

CVSS2

Дефекты

CWE-6

CWE-384

Связанные уязвимости

CVE-2018-12538

CVSS3: 8.8

ubuntu

больше 7 лет назад

CVE-2018-12538

CVSS3: 5.6

redhat

больше 7 лет назад

CVE-2018-12538

CVSS3: 8.8

debian

больше 7 лет назад

In Eclipse Jetty versions 9.4.0 through 9.4.8, when using the optional ...

GHSA-mwcx-532g-8pq3

CVSS3: 8.8

github

больше 7 лет назад

Access and integrity issue within Eclipse Jetty

BDU:2019-04280

CVSS3: 8.8

fstec

больше 7 лет назад

Уязвимость реализации класса FileSessionDataStore HTTP-сервера Jetty, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

EPSS

Процентиль: 66%

0.00515

Низкий

8.8 High

CVSS3

6.5 Medium

CVSS2

Дефекты

CWE-6

CWE-384