6.5высокая
BDU:2019-04280
Уязвимость реализации класса FileSessionDataStore HTTP-сервера Jetty, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Опубликовано: 2019-12-03
Описание
Уязвимость реализации класса FileSessionDataStore HTTP-сервера Jetty связана с ошибкой в конфигурации J2EE. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации путем управления сессиями, используя компонент HttpSessions из хранилища FileSystem
Затрагиваемое ПО и версии
Retail Xstore Point of Service (7.1)Retail Xstore Point of Service (15.0)Retail Xstore Point of Service (16.0)Retail Xstore Point of Service (17.0)Jetty (9.4.0.v20161208)Jetty (9.4.1.v20170120)Jetty (9.4.2.v20170220)Jetty (9.4.3.v20170317)Jetty (9.4.4.v20170414)Jetty (9.4.5.v20170502)Jetty (9.4.6.v20170531)Jetty (9.4.7.v2017094)Jetty (9.4.8.v20171121)
Способ устранения
Использование рекомендаций:
Для Jetty:
https://bugs.eclipse.org/bugs/show_bug.cgi?id=536018
Для программных продуктов Oracle:
https://www.oracle.com/security-alerts/cpuoct2019.html
Оценка CVSS
| Балл | 6.5 — высокая опасность |
Источники и патчи