V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2026-42404
CVE
Высокий

Apache Neethi не накладывает никаких ограничений на URI при ручной подсчете удаленных ссылок на политику через API PolicyReference. Когда п…

CVSS
7.2
Высокий
EPSS
0.00
p38
Опубликовано
2026-01-01
Обновлено
2026-01-01
Описание

Apache Neethi не накладывает никаких ограничений на URI при ручной подсчете удаленных ссылок на политику через API PolicyReference. Когда приложение явно вызывает API для получения политики из удаленного URI, исходный запрос на произвольные протоколы и внутренние IP-адреса. От 3.2.2 разрешены только http или https URI, а ссылки-местные/мультатические/любые-местные адреса запрещены. Пользователям рекомендуется обновиться до версии 3.2.2, что устраняет эту проблему.

Теги · CWE
Без аутентификации
CWE-918
CAPEC-664
Затронутые продукты
Neethi < 3.2.2
Вектор CVSS
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
Хронология
2026-01-01
Опубликована
2026-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: C
Изменена (C)
Воздействие на конфиденциальность
C: L
Низкое (L)
Воздействие на целостность
I: L
Низкое (L)
Воздействие на доступность
A: N
Отсутствует (N)
Индикаторы эксплуатации
EPSS
0.005 · p38
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
ПродуктВендорСтатус
neethi*Отслеживается