Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2019-12418

Опубликовано: 23 дек. 2019
Источник: nvd
CVSS3: 7
CVSS2: 4.4
EPSS Низкий

Описание

When Apache Tomcat 9.0.0.M1 to 9.0.28, 8.5.0 to 8.5.47, 7.0.0 and 7.0.97 is configured with the JMX Remote Lifecycle Listener, a local attacker without access to the Tomcat process or configuration files is able to manipulate the RMI registry to perform a man-in-the-middle attack to capture user names and passwords used to access the JMX interface. The attacker can then use these credentials to access the JMX interface and gain complete control over the Tomcat instance.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:apache:tomcat:*:*:*:*:*:*:*:*
Версия от 7.0.0 (включая) до 7.0.97 (включая)
cpe:2.3:a:apache:tomcat:*:*:*:*:*:*:*:*
Версия от 8.5.0 (включая) до 8.5.47 (включая)
cpe:2.3:a:apache:tomcat:*:*:*:*:*:*:*:*
Версия от 9.0.0 (включая) до 9.0.28 (включая)
Конфигурация 2

Одно из

cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*
Конфигурация 3

Одно из

cpe:2.3:a:oracle:workload_manager:12.2.0.1:*:*:*:*:*:*:*
cpe:2.3:a:oracle:workload_manager:18c:*:*:*:*:*:*:*
cpe:2.3:a:oracle:workload_manager:19c:*:*:*:*:*:*:*
Конфигурация 4
cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:esm:*:*:*
Конфигурация 5
cpe:2.3:o:opensuse:leap:15.1:*:*:*:*:*:*:*
Конфигурация 6
cpe:2.3:a:netapp:oncommand_system_manager:*:*:*:*:*:*:*:*
Версия от 3.0.0 (включая) до 3.1.3 (включая)

EPSS

Процентиль: 67%
0.00556
Низкий

7 High

CVSS3

4.4 Medium

CVSS2

Дефекты

NVD-CWE-noinfo

Связанные уязвимости

ubuntu логотип

CVE-2019-12418

CVSS3: 7
ubuntu
больше 5 лет назад

When Apache Tomcat 9.0.0.M1 to 9.0.28, 8.5.0 to 8.5.47, 7.0.0 and 7.0.97 is configured with the JMX Remote Lifecycle Listener, a local attacker without access to the Tomcat process or configuration files is able to manipulate the RMI registry to perform a man-in-the-middle attack to capture user names and passwords used to access the JMX interface. The attacker can then use these credentials to access the JMX interface and gain complete control over the Tomcat instance.

redhat логотип

CVE-2019-12418

CVSS3: 7.4
redhat
больше 5 лет назад

When Apache Tomcat 9.0.0.M1 to 9.0.28, 8.5.0 to 8.5.47, 7.0.0 and 7.0.97 is configured with the JMX Remote Lifecycle Listener, a local attacker without access to the Tomcat process or configuration files is able to manipulate the RMI registry to perform a man-in-the-middle attack to capture user names and passwords used to access the JMX interface. The attacker can then use these credentials to access the JMX interface and gain complete control over the Tomcat instance.

debian логотип

CVE-2019-12418

CVSS3: 7
debian
больше 5 лет назад

When Apache Tomcat 9.0.0.M1 to 9.0.28, 8.5.0 to 8.5.47, 7.0.0 and 7.0. ...

github логотип

GHSA-hh3j-x4mc-g48r

CVSS3: 7
github
больше 5 лет назад

Insufficiently Protected Credentials in Apache Tomcat

fstec логотип

BDU:2020-01972

CVSS3: 7
fstec
больше 5 лет назад

Уязвимость компонента работы с JMX сервера приложений Apache Tomcat, связанная с недостатком механизма защиты регистрационных данных, позволяющая нарушителю получить несанкционированный доступ к конфиденциальным данным, вызвать отказ в обслуживании и оказать воздействие на целостность данных

EPSS

Процентиль: 67%
0.00556
Низкий

7 High

CVSS3

4.4 Medium

CVSS2

Дефекты

NVD-CWE-noinfo