Trafficserver
Уязвимости
74
Эксплуатируемые
1
Макс. CVSS
10
Макс. EPSS
0.99999
Распределение по критичности
Критический
12
Высокий
51
Средний
11
Низкий
0
Также сопоставлено как (исходные строки): trafficserver
Топ уязвимостей
CVE-2014-3525Неуказанная уязвимость в Apache Traffic Server 3.x до 3.2.5, 4.x до 4.2.1.1 и 5.x до 5.0.1 имеет неизвестное воздействие и векторы атак, возможно, связанные с проверками работоспособности.
CVE-2021-43082Уязвимость копирования буфера без проверки размера входных данных («классическое переполнение буфера») в плагине stats-over-http Apache Traffic Server позволяет злоумышленнику перезаписывать память. Эта проблема затрагивает Apache Traffic Server 9.1.0.
CVE-2021-35474Уязвимость переполнения буфера на основе стека в плагине cachekey Apache Traffic Server. Эта проблема затрагивает Apache Traffic Server 7.0.0 - 7.1.12, 8.0.0 - 8.1.1, 9.0.0 - 9.0.1.
CVE-2020-1944Существует уязвимость в Apache Traffic Server с 6.0.0 по 6.2.3, с 7.0.0 по 7.1.8 и с 8.0.0 по 8.0.5 с атакой контрабанды и заголовками Transfer-Encoding и Content length. Обновитесь до версий 7.1.9 и 8.0.6 или более поздних версий.
CVE-2019-17565Существует уязвимость в Apache Traffic Server 6.0.0 - 6.2.3, 7.0.0 - 7.1.8 и 8.0.0 - 8.0.5, связанная с атакой путем инъекций и блочным кодированием. Обновитесь до версий 7.1.9 и 8.0.6 или более поздних версий.
CVE-2019-17559Существует уязвимость в Apache Traffic Server 6.0.0 - 6.2.3, 7.0.0 - 7.1.8 и 8.0.0 - 8.0.5, связанная с атакой путем инъекций и разбором схемы. Обновитесь до версий 7.1.9 и 8.0.6 или более поздних версий.
CVE-2015-5206Неуказанная уязвимость в экспериментальной функции HTTP/2 в Apache Traffic Server до версий 5.3.x до 5.3.2 имеет неизвестное воздействие и векторы атак, это другая уязвимость, отличная от CVE-2015-5168.
CVE-2015-5168Неуказанная уязвимость в экспериментальной функции HTTP/2 в Apache Traffic Server 5.3.x до версии 5.3.2 имеет неизвестное воздействие и векторы атак, отличная уязвимость от CVE-2015-5206.
CVE-2015-3249Экспериментальная функция HTTP/2 в Apache Traffic Server 5.3.x до версии 5.3.1 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (доступ за пределы выделенной памяти и сбой демона) или, возможно, выполнять произвольный код через векторы, связанные с (1) массивом frame_handlers или (2) функцией set_dynamic_table_size.
CVE-2014-3624Apache Traffic Server 5.1.x до версии 5.1.1 позволяет удаленным злоумышленникам обходить ограничения доступа, используя неспособность правильно туннелировать запросы remap с помощью CONNECT.
CVE-2024-50306Непроверенное возвращаемое значение может позволить Apache Traffic Server сохранять привилегии при запуске.
Эта проблема затрагивает Apache Traffic Server: с версии 9.2.0 по 9.2.5, с версии 10.0.0 по 10.0.1.
Пользователям рекомендуется обновиться до версии 9.2.6 или 10.0.2, в которых эта проблема исправлена.
CVE-2023-33934Уязвимость неправильной проверки входных данных в Apache Software Foundation Apache Traffic Server. Эта проблема затрагивает Apache Traffic Server: до 9.2.1.
CVE-2017-5660В Apache Traffic Server (ATS) 6.2.0 и более ранних версиях, а также 7.0.0 и более ранних версиях существует уязвимость, связанная с заголовком Host и переносом строк. Это может вызывать проблемы при взаимодействии с вышестоящими прокси и использовании неправильного хоста.
CVE-2024-35296Недопустимый заголовок Accept-Encoding может привести к тому, что Apache Traffic Server не сможет выполнить поиск в кэше и принудительно перенаправит запросы.
Эта проблема затрагивает Apache Traffic Server: с 8.0.0 по 8.1.10, с 9.0.0 по 9.2.4.
Пользователям рекомендуется обновиться до версии 8.1.11 или 9.2.5, в которой эта проблема устранена.
CVE-2021-44759Уязвимость неправильной аутентификации при проверке происхождения TLS в Apache Traffic Server позволяет злоумышленнику создать атаку «человек посередине». Эта проблема затрагивает Apache Traffic Server версии 8.0.0–8.1.0.
CVE-2021-38161Уязвимость Improper Authentication в проверке источника TLS Apache Traffic Server допускает атаки типа «человек посередине». Эта проблема затрагивает Apache Traffic Server версии 8.0.0 до 8.0.8.
CVE-2025-49763Плагин ESI не имеет предела для максимальной глубины включения, и это позволяет чрезмерно потреблять память при вставке вредоносных инструкций.
Пользователи могут использовать новую настройку для плагина (-max-inclusion-depth), чтобы ограничить его.
Эта проблема затрагивает Apache Traffic Server: с 10.0.0 до 10.0.5, с 9.0.0 до 9.2.10.
Пользователям рекомендуется обновиться до версий 9.2.11 или 10.0.6, что устраняет проблему.
CVE-2025-31698ACL, настроенный в ip_allow.config или remap.config, не использует IP-адреса, которые предоставляются протоколом PROXY.
Пользователи могут использовать новую настройку (proxy.config.acl.subjects), чтобы выбрать, какие IP-адреса использовать для ACL, если сервер трафика Apache настроен на прием протокола PROXY.
Эта проблема затрагивает неопределенный: от 10.0.0 до 10.0.6, с 9.0.0 до 9.2.10.
Пользователям рекомендуется обновиться до версий 9.2.11 или 10.0.6, что устраняет проблему.
CVE-2024-53868Apache Traffic Server позволяет атаки через подмеску запросов, если сообщения с частями имеют неправильный формат. Эта проблема затрагивает Apache Traffic Server: от 9.2.0 до 9.2.9, от 10.0.0 до 10.0.4. Рекомендуется обновиться до версии 9.2.10 или 10.0.5, которые исправляют эту проблему.
CVE-2024-50305Допустимое поле заголовка Host может привести к сбою Apache Traffic Server на некоторых платформах.
Эта проблема затрагивает Apache Traffic Server: с версии 9.2.0 по 9.2.5.
Пользователям рекомендуется обновиться до версии 9.2.6, в которой эта проблема исправлена, или до версии 10.0.2, в которой этой проблемы нет.
CVE-2024-38479Уязвимость неправильной проверки ввода в Apache Traffic Server. Эта проблема затрагивает Apache Traffic Server: с 8.0.0 по 8.1.11, с 9.0.0 по 9.2.5. Пользователям рекомендуется обновиться до версии 9.2.6, в которой исправлена эта проблема, или 10.0.2, в которой этой проблемы нет.
CVE-2024-35161Apache Traffic Server пересылает неправильно сформированный раздел трейлера HTTP chunked на исходные серверы. Это можно использовать для контрабанды запросов, а также может привести к отравлению кэша, если исходные серверы уязвимы.
Эта проблема затрагивает Apache Traffic Server: с 8.0.0 по 8.1.10, с 9.0.0 по 9.2.4.
Пользователи могут установить новый параметр (proxy.config.http.drop_chunked_trailers), чтобы не пересылать раздел трейлера chunked.
Пользователям рекомендуется обновиться до версии 8.1.11 или 9.2.5, в которой исправлена эта проблема.
CVE-2024-31309Атака DoS с помощью HTTP/2 CONTINUATION может вызвать чрезмерное потребление ресурсов на сервере Apache Traffic Server. Версии от 8.0.0 до 8.1.9 и от 9.0.0 до 9.2.3 подвержены.
Пользователи могут установить новую настройку (proxy.config.http2.max_continuation_frames_per_minute), чтобы ограничить количество CONTINUATION-кадров в минуту. ATS действительно имеет фиксированное количество памяти, которое может использовать запрос, и ATS соблюдает эти ограничения в предыдущих выпусках.
Пользователям рекомендуется обновиться до версий 8.1.10 или 9.2.4, которые исправляют проблему.
CVE-2023-44487Протокол HTTP/2 допускает отказ в обслуживании (потребление ресурсов сервера), поскольку отмена запроса может быстро сбросить множество потоков, как это было использовано в реальных условиях с августа по октябрь 2023 года.
CVE-2023-41752Уязвимость раскрытия конфиденциальной информации неавторизованному лицу в Apache Traffic Server. Эта проблема затрагивает Apache Traffic Server: с 8.0.0 по 8.1.8, с 9.0.0 по 9.2.2.
Пользователям рекомендуется обновиться до версии 8.1.9 или 9.2.3, которые исправляют данную проблему.