Apache Tomcat до 8.5.95/9.0.82/10.1.15/11.0.0-M10 HTTP Trailer Header эскалация привилегий

СводкаИнформация

Зафиксирована уязвимость, классифицируемая как проблематичный, в Apache Tomcat до 8.5.95/9.0.82/10.1.15/11.0.0-M10. Неизвестная функция компонента HTTP Trailer Header Handler поражена. Манипуляция приводит к эскалация привилегий. Эта уязвимость проходит под номером CVE-2023-46589. Атака может быть инициирована удаленно. Эксплойт недоступен. Рекомендуется выполнить обновление уязвимого компонента.

ПодробностиИнформация

Зафиксирована уязвимость, классифицируемая как проблематичный, в Apache Tomcat до 8.5.95/9.0.82/10.1.15/11.0.0-M10. Неизвестная функция компонента HTTP Trailer Header Handler поражена. Манипуляция приводит к эскалация привилегий. Использование классификатора CWE для обозначения проблемы ведет к CWE-444. Слабость была опубликована 28.11.2023 специалистом Norihito Aimoto. Уведомление опубликовано для скачивания на lists.apache.org.

Эта уязвимость проходит под номером CVE-2023-46589. Присвоение CVE было выполнено 23.10.2023. Атака может быть инициирована удаленно. Технические детали недоступны. Популярность этой уязвимости ниже среднего. Эксплойт недоступен. На текущий момент стоимость эксплойта может быть примерно USD $0-$5k.

Это объявлено как Не определено. В статусе 0-day примерная стоимость на черном рынке была около $5k-$25k. Сканер уязвимостей Nessus содержит плагин с ID 214478.

Установка версии 8.5.96, 9.0.83, 10.1.16 и 11.0.0-M11 позволяет решить данный вопрос. Рекомендуется выполнить обновление уязвимого компонента.

Информация об уязвимости также содержится в других базах данных уязвимостей: Tenable (214478).

ПродуктИнформация

Тип

• Application Server Software

Поставщик

• Apache

Имя

• Tomcat

Версия

• 8.5.0
• 8.5.1
• 8.5.2
• 8.5.3
• 8.5.4
• 8.5.5
• 8.5.6
• 8.5.7
• 8.5.8
• 8.5.9
• 8.5.10
• 8.5.11
• 8.5.12
• 8.5.13
• 8.5.14
• 8.5.15
• 8.5.16
• 8.5.17
• 8.5.18
• 8.5.19
• 8.5.20
• 8.5.21
• 8.5.22
• 8.5.23
• 8.5.24
• 8.5.25
• 8.5.26
• 8.5.27
• 8.5.28
• 8.5.29
• 8.5.30
• 8.5.31
• 8.5.32
• 8.5.33
• 8.5.34
• 8.5.35
• 8.5.36
• 8.5.37
• 8.5.38
• 8.5.39
• 8.5.40
• 8.5.41
• 8.5.42
• 8.5.43
• 8.5.44
• 8.5.45
• 8.5.46
• 8.5.47
• 8.5.48
• 8.5.49
• 8.5.50
• 8.5.51
• 8.5.52
• 8.5.53
• 8.5.54
• 8.5.55
• 8.5.56
• 8.5.57
• 8.5.58
• 8.5.59
• 8.5.60
• 8.5.61
• 8.5.62
• 8.5.63
• 8.5.64
• 8.5.65
• 8.5.66
• 8.5.67
• 8.5.68
• 8.5.69
• 8.5.70
• 8.5.71
• 8.5.72
• 8.5.73
• 8.5.74
• 8.5.75
• 8.5.76
• 8.5.77
• 8.5.78
• 8.5.79
• 8.5.80
• 8.5.81
• 8.5.82
• 8.5.83
• 8.5.84
• 8.5.85
• 8.5.86
• 8.5.87
• 8.5.88
• 8.5.89
• 8.5.90
• 8.5.91
• 8.5.92
• 8.5.93
• 8.5.94
• 8.5.95
• 9.0.0
• 9.0.1
• 9.0.2
• 9.0.3
• 9.0.4
• 9.0.5
• 9.0.6
• 9.0.7
• 9.0.8
• 9.0.9
• 9.0.10
• 9.0.11
• 9.0.12
• 9.0.13
• 9.0.14
• 9.0.15
• 9.0.16
• 9.0.17
• 9.0.18
• 9.0.19
• 9.0.20
• 9.0.21
• 9.0.22
• 9.0.23
• 9.0.24
• 9.0.25
• 9.0.26
• 9.0.27
• 9.0.28
• 9.0.29
• 9.0.30
• 9.0.31
• 9.0.32
• 9.0.33
• 9.0.34
• 9.0.35
• 9.0.36
• 9.0.37
• 9.0.38
• 9.0.39
• 9.0.40
• 9.0.41
• 9.0.42
• 9.0.43
• 9.0.44
• 9.0.45
• 9.0.46
• 9.0.47
• 9.0.48
• 9.0.49
• 9.0.50
• 9.0.51
• 9.0.52
• 9.0.53
• 9.0.54
• 9.0.55
• 9.0.56
• 9.0.57
• 9.0.58
• 9.0.59
• 9.0.60
• 9.0.61
• 9.0.62
• 9.0.63
• 9.0.64
• 9.0.65
• 9.0.66
• 9.0.67
• 9.0.68
• 9.0.69
• 9.0.70
• 9.0.71
• 9.0.72
• 9.0.73
• 9.0.74
• 9.0.75
• 9.0.76
• 9.0.77
• 9.0.78
• 9.0.79
• 9.0.80
• 9.0.81
• 9.0.82
• 10.1.0
• 10.1.1
• 10.1.2
• 10.1.3
• 10.1.4
• 10.1.5
• 10.1.6
• 10.1.7
• 10.1.8
• 10.1.9
• 10.1.10
• 10.1.11
• 10.1.12
• 10.1.13
• 10.1.14
• 10.1.15
• 11.0.0-M10

Лицензия

• Открытый исходный код

Веб-сайт

• Поставщик: https://www.apache.org/

CPE 2.3Информация

• 🔍
• 🔍
• 🔍

CPE 2.2Информация

• 🔍
• 🔍
• 🔍

CVSSv4Информация

CVSSv3Информация

CVSSv2Информация

ЭксплуатацияИнформация

Разведка угрозИнформация

КонтрмерыИнформация

ХронологияИнформация

ИсточникиИнформация

ВходИнформация

Once again VulDB remains the best source for vulnerability data.

Обсуждение