ГлавнаяБаза уязвимостей БДУ → BDU:2019-04280
6.5высокая

BDU:2019-04280

Уязвимость реализации класса FileSessionDataStore HTTP-сервера Jetty, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Опубликовано: 2019-12-03
Описание

Уязвимость реализации класса FileSessionDataStore HTTP-сервера Jetty связана с ошибкой в конфигурации J2EE. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации путем управления сессиями, используя компонент HttpSessions из хранилища FileSystem

Затрагиваемое ПО и версии
Retail Xstore Point of Service (7.1)Retail Xstore Point of Service (15.0)Retail Xstore Point of Service (16.0)Retail Xstore Point of Service (17.0)Jetty (9.4.0.v20161208)Jetty (9.4.1.v20170120)Jetty (9.4.2.v20170220)Jetty (9.4.3.v20170317)Jetty (9.4.4.v20170414)Jetty (9.4.5.v20170502)Jetty (9.4.6.v20170531)Jetty (9.4.7.v2017094)Jetty (9.4.8.v20171121)
Способ устранения

Использование рекомендаций:

Для Jetty:
https://bugs.eclipse.org/bugs/show_bug.cgi?id=536018

Для программных продуктов Oracle:
https://www.oracle.com/security-alerts/cpuoct2019.html

Оценка CVSS
Балл6.5 — высокая опасность
Источники и патчи
http://www.securitytracker.com/id/1041194https://bugs.eclipse.org/bugs/show_bug.cgi?id=536018https://security.netapp.com/advisory/ntap-20181014-0001/https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html
Проверьте безопасность своего сайта и почты → Полная проверка домена