CVE-2020-1757

Опубликовано: 21 апр. 2020

Источник: nvd

CVSS3: 8.1

CVSS2: 5.5

EPSS Низкий

Описание

A flaw was found in all undertow-2.x.x SP1 versions prior to undertow-2.0.30.SP1, all undertow-1.x.x and undertow-2.x.x versions prior to undertow-2.1.0.Final, where the Servlet container causes servletPath to normalize incorrectly by truncating the path after semicolon which may lead to an application mapping resulting in the security bypass.

Ссылки

https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2020-1757
Issue Tracking
Vendor Advisory
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2020-1757
Issue Tracking
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:redhat:undertow:*:*:*:*:*:*:*:*

Версия до 2.1.0 (исключая)

cpe:2.3:a:redhat:undertow:2.0.0:sp1:*:*:*:*:*:*

cpe:2.3:a:redhat:undertow:2.0.25:sp1:*:*:*:*:*:*

cpe:2.3:a:redhat:undertow:2.0.26:sp3:*:*:*:*:*:*

cpe:2.3:a:redhat:undertow:2.0.28:sp1:*:*:*:*:*:*

cpe:2.3:a:redhat:undertow:2.0.28:sp2:*:*:*:*:*:*

Конфигурация 2

Одно из

cpe:2.3:a:redhat:jboss_data_grid:7.0.0:*:*:*:*:*:*:*

cpe:2.3:a:redhat:jboss_enterprise_application_platform:7.0.0:*:*:*:*:*:*:*

cpe:2.3:a:redhat:jboss_fuse:6.0.0:*:*:*:*:*:*:*

cpe:2.3:a:redhat:jboss_fuse:7.0.0:*:*:*:*:*:*:*

cpe:2.3:a:redhat:openshift_application_runtimes:-:*:*:*:*:*:*:*

cpe:2.3:a:redhat:single_sign-on:7.0:*:*:*:*:*:*:*

EPSS

Процентиль: 64%

0.00463

Низкий

8.1 High

CVSS3

8.1 High

CVSS3

5.5 Medium

CVSS2

Дефекты

CWE-20

Связанные уязвимости

CVE-2020-1757

CVSS3: 8.1

ubuntu

почти 6 лет назад

CVE-2020-1757

CVSS3: 8.1

redhat

около 7 лет назад

CVE-2020-1757

CVSS3: 8.1

debian

почти 6 лет назад

A flaw was found in all undertow-2.x.x SP1 versions prior to undertow- ...

GHSA-2w73-fqqj-c92p

CVSS3: 8.1

github

больше 3 лет назад

Improper Input Validation in Undertow

EPSS

Процентиль: 64%

0.00463

Низкий

8.1 High

CVSS3

8.1 High

CVSS3

5.5 Medium

CVSS2

Дефекты

CWE-20