CVE-2008-2938

Loading...

Général

Score :4.3/10.0
Sévérité :Faible
Catégorie :Manipulation de chemin
Exploit :Disponible

Métriques d'impact

Confidentialité :Partiel
Intégrité :Aucun
Disponibilité :Aucun

Métriques d'exploitabilité

Vecteur d'Accès :Réseau
Complexité d'Accès :Moyenne
Authentification :Aucune

Vulnérabilités associées

CVE-2005-2090, CVE-2006-7195, CVE-2007-1858, CVE-2007-2449, CVE-2007-2450, CVE-2007-2691, CVE-2007-4850, CVE-2007-5333, CVE-2007-5342, CVE-2007-5461, CVE-2007-5969, CVE-2007-6286, CVE-2007-6420, CVE-2008-0002, CVE-2008-0128, CVE-2008-0226, CVE-2008-0227, CVE-2008-0674, CVE-2008-1232, CVE-2008-1389, CVE-2008-1678, CVE-2008-1767, CVE-2008-1947, CVE-2008-2079, CVE-2008-2364, CVE-2008-2370, CVE-2008-2371, CVE-2008-2712, CVE-2008-2939, CVE-2008-3271, CVE-2008-3294, CVE-2008-3432, CVE-2008-3641, CVE-2008-3642, CVE-2008-3643, CVE-2008-3645, CVE-2008-3646, CVE-2008-3647, CVE-2008-3658, CVE-2008-3912, CVE-2008-3913, CVE-2008-3914, CVE-2008-4101, CVE-2008-4211, CVE-2008-4212, CVE-2008-4214, CVE-2008-4215

Publiée le 13/08/08 - Mise à jour le 25/03/19

Description

Directory traversal vulnerability in Apache Tomcat 4.1.0 through 4.1.37, 5.5.0 through 5.5.26, and 6.0.0 through 6.0.16, when allowLinking and UTF-8 are enabled, allows remote attackers to read arbitrary files via encoded directory traversal sequences in the URI, a different vulnerability than CVE-2008-2370. NOTE: versions earlier than 6.0.18 were reported affected, but the vendor advisory lists 6.0.16 as the last affected version.

Catégorie : Manipulation de chemin

CWE-22 (Traversement de chemin)
Le logiciel utilise une entrée externe pour construire un chemin d'accès qui est destiné à identifier un fichier ou un répertoire qui se trouve dans un répertoire parent restreint, mais le logiciel ne neutralise pas correctement les éléments spéciaux dans le chemin qui peuvent permettre l'accès à un emplacement qui est en dehors du répertoire restreint.

Avis de sécurité

US National Vulnerability DatabaseCVE-2008-2938
Agence Nationale de la Sécurité des Systèmes d'Information CERTA-2008-AVI-416, CERTA-2008-AVI-492
CentOS CESA-2008:0648
Redhat RHSA-2008:0648, RHSA-2008:0862, RHSA-2008:0864, RHSA-2008:0877, RHSA-2008:1007
Renater 2008/VULN374, 2008/VULN417, 2009/VULN050, 2010/VULN248

Exploits

Exploit-DBEDB-14489, EDB-6229
SecurityFocusBID-30633

Technologies associées

FournisseurProduit
apachetomcat
apache_software_foundationtomcat

Partagez cette vulnérabilité avec :

Twitter Facebook LinkedIn Mail