Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2021-44790

Опубликовано: 20 дек. 2021
Источник: nvd
CVSS3: 9.8
CVSS2: 7.5
EPSS Высокий

Уязвимость переполнения буфера в модуле "mod_lua" при использовании парсера многокомпонентных данных в Apache HTTP Server

Описание

Специально сформированный текст запроса способен вызвать переполнение буфера в парсере многокомпонентных данных mod_lua, когда вызывается r:parsebody() из Lua-скриптов. Команда Apache httpd не знает о существовании эксплоита для данной уязвимости, однако его создание возможно.

Затронутые версии ПО

  • Apache HTTP Server версии 2.4.51 и более ранние

Тип уязвимости

Переполнение буфера

Ссылки

Уязвимые конфигурации

Конфигурация 1
cpe:2.3:a:apache:http_server:*:*:*:*:*:*:*:*
Версия до 2.4.52 (исключая)
Конфигурация 2

Одно из

cpe:2.3:o:fedoraproject:fedora:34:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:35:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:36:*:*:*:*:*:*:*
Конфигурация 3

Одно из

cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:11.0:*:*:*:*:*:*:*
Конфигурация 4
cpe:2.3:a:tenable:tenable.sc:*:*:*:*:*:*:*:*
Версия от 5.16.0 (включая) до 5.20.0 (исключая)
Конфигурация 5
cpe:2.3:a:netapp:cloud_backup:-:*:*:*:*:*:*:*
Конфигурация 6

Одно из

cpe:2.3:a:oracle:communications_element_manager:*:*:*:*:*:*:*:*
Версия до 9.0 (включая)
cpe:2.3:a:oracle:communications_operations_monitor:4.3:*:*:*:*:*:*:*
cpe:2.3:a:oracle:communications_operations_monitor:4.4:*:*:*:*:*:*:*
cpe:2.3:a:oracle:communications_operations_monitor:5.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:communications_session_report_manager:*:*:*:*:*:*:*:*
Версия до 9.0 (включая)
cpe:2.3:a:oracle:communications_session_route_manager:*:*:*:*:*:*:*:*
Версия до 9.0 (включая)
cpe:2.3:a:oracle:http_server:12.2.1.3.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:http_server:12.2.1.4.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:instantis_enterprisetrack:17.1:*:*:*:*:*:*:*
cpe:2.3:a:oracle:instantis_enterprisetrack:17.2:*:*:*:*:*:*:*
cpe:2.3:a:oracle:instantis_enterprisetrack:17.3:*:*:*:*:*:*:*
cpe:2.3:a:oracle:zfs_storage_appliance_kit:8.8:*:*:*:*:*:*:*
Конфигурация 7

Одно из

cpe:2.3:o:apple:mac_os_x:10.15.7:security_update_2020-001:*:*:*:*:*:*
cpe:2.3:o:apple:mac_os_x:10.15.7:security_update_2021-001:*:*:*:*:*:*
cpe:2.3:o:apple:mac_os_x:10.15.7:security_update_2021-002:*:*:*:*:*:*
cpe:2.3:o:apple:mac_os_x:10.15.7:security_update_2021-003:*:*:*:*:*:*
cpe:2.3:o:apple:mac_os_x:10.15.7:security_update_2021-004:*:*:*:*:*:*
cpe:2.3:o:apple:mac_os_x:10.15.7:security_update_2021-005:*:*:*:*:*:*
cpe:2.3:o:apple:mac_os_x:10.15.7:security_update_2021-006:*:*:*:*:*:*
cpe:2.3:o:apple:mac_os_x:10.15.7:security_update_2021-007:*:*:*:*:*:*
cpe:2.3:o:apple:mac_os_x:10.15.7:security_update_2021-008:*:*:*:*:*:*
cpe:2.3:o:apple:mac_os_x:10.15.7:security_update_2022-001:*:*:*:*:*:*
cpe:2.3:o:apple:mac_os_x:10.15.7:security_update_2022-002:*:*:*:*:*:*
cpe:2.3:o:apple:mac_os_x:10.15.7:security_update_2022-003:*:*:*:*:*:*
cpe:2.3:o:apple:macos:*:*:*:*:*:*:*:*
Версия до 10.15.7 (исключая)
cpe:2.3:o:apple:macos:*:*:*:*:*:*:*:*
Версия от 11.0 (включая) до 11.6.6 (исключая)
cpe:2.3:o:apple:macos:*:*:*:*:*:*:*:*
Версия от 12.0 (включая) до 12.4 (исключая)

EPSS

Процентиль: 99%
0.85858
Высокий

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-787
CWE-787

Связанные уязвимости

ubuntu логотип

CVE-2021-44790

CVSS3: 9.8
ubuntu
больше 3 лет назад

A carefully crafted request body can cause a buffer overflow in the mod_lua multipart parser (r:parsebody() called from Lua scripts). The Apache httpd team is not aware of an exploit for the vulnerabilty though it might be possible to craft one. This issue affects Apache HTTP Server 2.4.51 and earlier.

redhat логотип

CVE-2021-44790

CVSS3: 9.8
redhat
больше 3 лет назад

A carefully crafted request body can cause a buffer overflow in the mod_lua multipart parser (r:parsebody() called from Lua scripts). The Apache httpd team is not aware of an exploit for the vulnerabilty though it might be possible to craft one. This issue affects Apache HTTP Server 2.4.51 and earlier.

msrc логотип

CVE-2021-44790

CVSS3: 9.8
msrc
больше 3 лет назад

Описание отсутствует

debian логотип

CVE-2021-44790

CVSS3: 9.8
debian
больше 3 лет назад

A carefully crafted request body can cause a buffer overflow in the mo ...

rocky логотип

RLSA-2022:0258

rocky
больше 3 лет назад

Important: httpd:2.4 security update

EPSS

Процентиль: 99%
0.85858
Высокий

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-787
CWE-787