- شناسه CVE-2024-50379 :CVE
- CWE367 :CWE
- yes :Advisory
- منتشر شده: 12/17/2024
- به روز شده: 12/19/2024
- امتیاز: 7.6
- نوع حمله: Unknown
- اثر گذاری: Remote Code Execution
- برند: Apache Software Foundation
- محصول: Apache Tomcat
- وضعیتPublished :CVE
- Yes :POC
- وضعیت آسیب پذیری: patch شده
چکیده
این آسیب پذیری در مورد عملکرد نامشخص مولفه JSP Compilation است. همچنین این آسیب پذیری میتواند با با ایجاد تغییرات در دادههای ناشناخته مورد سوء استفاده قرار گیرد. حمله را می توان از طریق شبکه پیاده سازی کرد. بهترین اقدام ممکن برای جلوگیری از سواستفاده از طریق این آسیب پذیری نصب نسخه های بالاتر است.
توضیحات
این آسیب پذیری در دسته CWE-367 قرار می گیرد. این موضوع بر محرمانه بودن، یکپارچگی و در دسترس بودن تأثیر می گذارد. اکسپلویت برای این آسیب پذیری دشوار بنظر می رسد. هیچ احراز هویت خاصی برای استفاده از این آسیب پذیری لازم نیست.
لیست محصولات آسیب پذیر
- Apache Tomcat 9.0.0.M1 تا 9.0.97
- Apache Tomcat 10.1.0-M1 تا 10.1.33
- Apache Tomcat 11.0.0-M1 تا 11.0.1
راهکارهای رفع آسیب پذیری
بهروزرسانی به نسخههای اصلاحشده:
- Apache Tomcat 9.0.98 یا بالاتر
- Apache Tomcat 10.1.34 یا بالاتر
- Apache Tomcat 11.0.2 یا بالاتر
CVSS
| Score | Severity | Version | Vector String | ||
| 7.6 | High | CVSS2 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L/E:X/RL:O/RC:C | ||
نتیجه گیری
این آسیب پذیری در دسته CWE-367 طبقه بندی می شود. محصول قبل از استفاده از منبع مورد نظر، وضعیت یک منبع را بررسی می کند، اما وضعیت منبع می تواند بین حالات بررسی و استفاده به گونه ای تغییر کند که نتایج بررسی را باطل کند. وقتی منبع در حالت غیرمنتظره ای قرار دارد، این می تواند باعث شود محصول اقداماتی نامعتبر انجام دهد. تاثیر حاصل از این رفتار ناشناخته باقی مانده است.
