CVE-2019-0221

Опубликовано: 13 апр. 2019

Источник: redhat

CVSS3: 5

EPSS Низкий

Описание

The SSI printenv command in Apache Tomcat 9.0.0.M1 to 9.0.0.17, 8.5.0 to 8.5.39 and 7.0.0 to 7.0.93 echoes user provided data without escaping and is, therefore, vulnerable to XSS. SSI is disabled by default. The printenv command is intended for debugging and is unlikely to be present in a production website.

Меры по смягчению последствий

SSI is disabled in the default Tomcat configuration. The vulnerable printenv command is intended for debugging, and is recommended to not be enabled for a production website.

Затронутые пакеты

Платформа	Пакет	Состояние
Red Hat BPM Suite 6	tomcat	Out of support scope
Red Hat Enterprise Linux 6	tomcat6	Out of support scope
Red Hat Enterprise Linux 7	tomcat	Affected
Red Hat Enterprise Linux 8	pki-deps:10.6/pki-servlet-container	Fix deferred
Red Hat Fuse 7	tomcat	Not affected
Red Hat JBoss BRMS 5	jbossweb	Out of support scope
Red Hat JBoss BRMS 6	tomcat	Out of support scope
Red Hat JBoss Data Grid 6	jbossweb	Out of support scope
Red Hat JBoss Data Grid 7	tomcat	Not affected
Red Hat JBoss Data Virtualization 6	jbossweb	Out of support scope

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Low

Дефект:

CWE-79

https://bugzilla.redhat.com/show_bug.cgi?id=1713275tomcat: XSS in SSI printenv

EPSS

Процентиль: 92%

0.09193

Низкий

5 Medium

CVSS3

Связанные уязвимости

CVE-2019-0221

CVSS3: 6.1

ubuntu

около 6 лет назад

CVE-2019-0221

CVSS3: 6.1

nvd

около 6 лет назад

CVE-2019-0221

CVSS3: 6.1

debian

около 6 лет назад

The SSI printenv command in Apache Tomcat 9.0.0.M1 to 9.0.0.17, 8.5.0 ...

GHSA-jjpq-gp5q-8q6w

CVSS3: 6.1

github

около 6 лет назад

Cross-site scripting in Apache Tomcat

BDU:2020-01021

CVSS3: 6.1

fstec

около 6 лет назад

Уязвимость команды printenv сервера приложений Apache Tomcat, позволяющая нарушителю осуществить межсайтовую сценарную атаку

EPSS

Процентиль: 92%

0.09193

Низкий

5 Medium

CVSS3