9.3высокая
BDU:2023-01045
Уязвимость сервера приложений Apache Tomcat, связанная с отсутствием ограничений на загрузку файлов, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2023-03-06
Описание
Уязвимость сервера приложений Apache Tomcat связана с отсутствием ограничений на загрузку файлов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с помощью специально созданного JSP файла
Затрагиваемое ПО и версии
Red Hat Enterprise Linux (6)Red Hat Enterprise Linux (7)Ubuntu (17.10)Ubuntu (18.04 LTS)WebCenter Sites (11.1.1.8.0)Oracle Transportation Management (6.3.7)Oracle Endeca Information Discovery Integrator (3.2.0)Oracle Endeca Information Discovery Integrator (3.1.0)Oracle Retail Order Broker (15.0)Instantis EnterpriseTrack (17.1)Instantis EnterpriseTrack (17.2)FMW Platform (12.2.1.3.0)Communications Application Session Controller (3.7.1)Communications Application Session Controller (3.8.0)Ubuntu (14.04 ESM)Oracle Hospitality Guest Access (4.2.0)Oracle Hospitality Guest Access (4.2.1)Oracle Agile PLM (9.3.3)Oracle Agile PLM (9.3.5)Oracle Agile PLM (9.3.6)Oracle Agile PLM (9.3.4)Oracle Retail Order Broker (5.0)Ubuntu (16.04 ESM)MICROS Retail XBRi Loss Prevention (10.0.1)MICROS Retail XBRi Loss Prevention (10.5.0)MICROS Retail XBRi Loss Prevention (10.6.0)MICROS Retail XBRi Loss Prevention (10.7.0)MICROS Retail XBRi Loss Prevention (10.8.0)MICROS Retail XBRi Loss Prevention (10.8.1)Tomcat (от 9.0.0.M1 до 9.0.0 включительно)
Способ устранения
Использование рекомендаций:
Для Apache Tomcat:
https://lists.apache.org/thread.html/3fd341a604c4e9eab39e7eaabbbac39c30101a022acc11dd09d7ebcb@%3Cannounce.tomcat.apache.org%3E
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2017-12617?extIdCarryOver=true&sc_cid=701f2000001OH6kAAG
Для Ubuntu:
https://ubuntu.com/security/notices/USN-3665-1
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2018.html
https://www.oracle.com/security-alerts/cpujan2018.html
https://www.oracle.com/security-alerts/cpujul2018.html
https://www.oracle.com/security-alerts/cpuapr2019.html
Оценка CVSS
| Балл | 9.3 — высокая опасность |
Источники и патчи