CVE-2007-1860

Loading...

Général

Score :5.0/10.0
Sévérité :Moyenne
Catégorie :Manipulation de chemin
Exploit :Disponible

Métriques d'impact

Confidentialité :Partiel
Intégrité :Aucun
Disponibilité :Aucun

Métriques d'exploitabilité

Vecteur d'Accès :Réseau
Complexité d'Accès :Faible
Authentification :Aucune

Vulnérabilités associées

CVE-2004-0687, CVE-2004-0688, CVE-2004-0885, CVE-2004-0914, CVE-2004-0996, CVE-2004-2541, CVE-2005-0605, CVE-2005-0758, CVE-2005-2090, CVE-2005-3128, CVE-2005-3510, CVE-2005-3964, CVE-2005-4838, CVE-2006-0254, CVE-2006-0898, CVE-2006-1329, CVE-2006-2842, CVE-2006-3174, CVE-2006-3835, CVE-2006-4019, CVE-2006-5752, CVE-2006-6142, CVE-2006-7195, CVE-2006-7196, CVE-2006-7197, CVE-2007-0243, CVE-2007-0450, CVE-2007-0478, CVE-2007-1001, CVE-2007-1262, CVE-2007-1287, CVE-2007-1349, CVE-2007-1355, CVE-2007-1358, CVE-2007-1460, CVE-2007-1461, CVE-2007-1484, CVE-2007-1521, CVE-2007-1583, CVE-2007-1711, CVE-2007-1717, CVE-2007-2403, CVE-2007-2404, CVE-2007-2405, CVE-2007-2406, CVE-2007-2407, CVE-2007-2408, CVE-2007-2409, CVE-2007-2410, CVE-2007-2435, CVE-2007-2442, CVE-2007-2443, CVE-2007-2446, CVE-2007-2447, CVE-2007-2449, CVE-2007-2450, CVE-2007-2589, CVE-2007-2788, CVE-2007-2789, CVE-2007-2798, CVE-2007-3304, CVE-2007-3382, CVE-2007-3385, CVE-2007-3742, CVE-2007-3744, CVE-2007-3745, CVE-2007-3746, CVE-2007-3747, CVE-2007-3748, CVE-2007-3944, CVE-2007-4465, CVE-2007-5000, CVE-2007-5461, CVE-2007-5961, CVE-2007-6306, CVE-2007-6388, CVE-2008-0128

Publiée le 25/05/07 - Mise à jour le 15/04/19

Description

mod_jk in Apache Tomcat JK Web Server Connector 1.2.x before 1.2.23 decodes request URLs within the Apache HTTP Server before passing the URL to Tomcat, which allows remote attackers to access protected pages via a crafted prefix JkMount, possibly involving double-encoded .. (dot dot) sequences and directory traversal, a related issue to CVE-2007-0450.

Catégorie : Manipulation de chemin

CWE-22 (Traversement de chemin)
Le logiciel utilise une entrée externe pour construire un chemin d'accès qui est destiné à identifier un fichier ou un répertoire qui se trouve dans un répertoire parent restreint, mais le logiciel ne neutralise pas correctement les éléments spéciaux dans le chemin qui peuvent permettre l'accès à un emplacement qui est en dehors du répertoire restreint.

Avis de sécurité

US National Vulnerability DatabaseCVE-2007-1860
Agence Nationale de la Sécurité des Systèmes d'Information CERTA-2007-AVI-229, CERTA-2007-AVI-340
Redhat RHSA-2008:0261, RHSA-2008:0524
Renater 2007/VULN330

Exploits

SecurityFocusBID-24147, BID-25159

Technologies associées

FournisseurProduit
apachetomcat_jk_web_server_connector

Partagez cette vulnérabilité avec :

Twitter Facebook LinkedIn Mail