V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2023-41081
DEB
Высокий

Важно: обход аутентификации CVE-2023-41081 Компонент mod_jk Apache Tomcat Connectors при определенных обстоятельствах, например, когда конф…

CVSS
7.5
Высокий
EPSS
0.01
p65
Опубликовано
2023-01-01
Обновлено
2023-01-01
Описание

Важно: обход аутентификации CVE-2023-41081 Компонент mod_jk Apache Tomcat Connectors при определенных обстоятельствах, например, когда конфигурация включала «JkOptions +ForwardDirectories», но конфигурация не предоставляла явных подключений для всех возможных проксированных запросов, mod_jk использовал бы неявное сопоставление и сопоставлял запрос с первым определенным работником. Такое неявное сопоставление могло привести к непреднамеренному раскрытию рабочего статуса и/или обходу ограничений безопасности, настроенных в httpd. Начиная с JK 1.2.49, функция неявного сопоставления была удалена, и теперь все сопоставления должны выполняться через явную конфигурацию. Эта проблема затрагивает только mod_jk. ISAPI redirector не затрагивается. Эта проблема затрагивает Apache Tomcat Connectors (только mod_jk): с 1.2.0 по 1.2.48. Пользователям рекомендуется обновиться до версии 1.2.49, в которой эта проблема устранена. История 2023-09-13 Оригинальное уведомление 2023-09-28 Обновленное резюме

Теги · CWE
Без аутентификации
CWE-202
Затронутые продукты
Tomcat_connectors 1.2.0–1.2.49
Вектор CVSS
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Хронология
2023-01-01
Опубликована
2023-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: H
Высокое (H)
Воздействие на целостность
I: N
Отсутствует (N)
Воздействие на доступность
A: N
Отсутствует (N)
Индикаторы эксплуатации
EPSS
0.013 · p65
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
ПродуктВендорСтатус
jbcs-httpd24-mod_jkОтслеживается
jbcs-httpd24-mod_jkОтслеживается
libapache-mod-jkОтслеживается
libapache-mod-jkОтслеживается
libapache-mod-jkОтслеживается
libapache-mod-jkОтслеживается
libapache-mod-jkОтслеживается
libapache-mod-jkОтслеживается
libapache-mod-jkОтслеживается
libapache-mod-jkОтслеживается
libapache-mod-jkОтслеживается
libapache-mod-jkОтслеживается
libapache-mod-jkОтслеживается
mod_jkОтслеживается
tomcat_connectors*Отслеживается
Источники данных
DEB
CVE
RED
UBU
Связанные уязвимости