V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
DebianДистрибутивdebian

Libapache2-mod-cluster

Уязвимости
9
Эксплуатируемые
0
Макс. CVSS
7.5
Макс. EPSS
0.04692

Распределение по критичности

Критический
0
Высокий
1
Средний
8
Низкий
0
Также сопоставлено как (исходные строки): libapache2-mod-cluster

Топ уязвимостей

CVE-2012-1094JBoss AS 7 до 7.1.1 и mod_cluster не обрабатывают имя хоста по умолчанию одинаково, что может привести к несовпадению списка исключенных контекстов и раскрытию корневого контекста.
CVE-2024-10306В mod_proxy_cluster обнаружена уязвимость. Проблема заключается в том, что директива <Directory> должна быть заменена на директиву <Location>, поскольку первая не ограничивает доступ IP/хоста, как это предполагает `Require ip IP_ADDRESS`. Это означает, что любой, имеющий доступ к хосту, может отправлять запросы MCMP, которые могут привести к добавлению/удалению/обновлению узлов для балансировки. Однако этот хост не должен быть доступен из общедоступной сети, поскольку он не обслуживает общий трафик [1]. Источники: - [1] https://access.redhat.com/errata/RHBA-2025:5309 - [2] https://access.redhat.com/security/cve/CVE-2024-10306 - [3] https://bugzilla.redhat.com/show_bug.cgi?id=2321302
CVE-2023-6710Обнаружена уязвимость в mod_proxy_cluster в Apache server. Эта проблема может позволить злонамеренному пользователю добавить скрипт в параметр 'alias' в URL-адресе, чтобы вызвать уязвимость stored cross-site scripting (XSS). Добавление скрипта в параметр alias в URL-адресе добавляет новый виртуальный хост и добавляет скрипт на страницу cluster-manager.
CVE-2015-0298Уязвимость межсайтового скриптинга (XSS) в веб-интерфейсе менеджера в mod_cluster до версии 1.3.2.Alpha1 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через специально созданное сообщение MCMP.
CVE-2016-3110mod_cluster, используемый в Red Hat JBoss Web Server 2.1, позволяет удаленным злоумышленникам вызывать отказ в обслуживании (сбой Apache http server) через сообщение MCMP, содержащее серию символов = (равно) после допустимого элемента.
CVE-2016-4459Переполнение буфера на основе стека в native/mod_manager/node.c в mod_cluster 1.2.9.
CVE-2026-3234Недостаток был найден в mod_proxy_cluster. Эта уязвимость, инъекция Carriage Return Line Feed (CRLF) в функции decodeenc() позволяет удаленному злоумышленнику обходить входную валидную валидацию. Вводя последовательности CRLF в конфигурацию кластера, злоумышленник может испортить орган ответа ответных реакций ИНФО. Эксплуатация требует доступа к сети порта протокола MCMP, но аутентификация не требуется.
CVE-2016-8612Apache HTTP Server mod_cluster до версии httpd 2.4.23 уязвим для неправильной проверки входных данных в логике разбора протокола в балансировщике нагрузки, что приводит к ошибке сегментации в обслуживающем процессе httpd.
CVE-2012-1154mod_cluster 1.0.10 до 1.0.10 CP03 и 1.1.x до 1.1.4, используемый в JBoss Enterprise Application Platform 5.1.2, когда "ROOT" установлен в excludedContexts, предоставляет корневой контекст сервера, что позволяет удаленным злоумышленникам обходить ограничения доступа и получать доступ к приложениям, развернутым в корневом контексте, через неуказанные векторы.
Перейти к вендору →Открыть в каталоге с фильтром по продукту →