CVE-2018-1287

In Apache JMeter 2.X and 3.X, when using Distributed Test only (RMI based), jmeter server binds RMI Registry to wildcard host. This could allow an attacker to get Access to JMeterEngine and send unauthorized code.
ProviderTypeBase ScoreAtk. VectorAtk. ComplexityPriv. RequiredVector
NISTNIST
9.8 CRITICAL
NETWORK
LOW
NONE
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
apacheCNA
---
---
CVEADP
---
---
Base Score
CVSS 3.x
EPSS Score
Percentile: 79%
VendorProductVersion
apachejmeter
2.1
apachejmeter
2.2
apachejmeter
2.3
apachejmeter
2.3.1
apachejmeter
2.3.2
apachejmeter
2.3.3
apachejmeter
2.3.3:rc1
apachejmeter
2.3.3:rc2
apachejmeter
2.3.4
apachejmeter
2.3.4:rc1
apachejmeter
2.3.4:rc2
apachejmeter
2.3.4:rc3
apachejmeter
2.4
apachejmeter
2.5
apachejmeter
2.5:rc1
apachejmeter
2.5:rc2
apachejmeter
2.5:rc3
apachejmeter
2.5.1
apachejmeter
2.5.1:rc1
apachejmeter
2.5.1:rc2
apachejmeter
2.5.1:rc3
apachejmeter
2.6
apachejmeter
2.6:rc1
apachejmeter
2.6:rc2
apachejmeter
2.7
apachejmeter
2.7:rc1
apachejmeter
2.7:rc2
apachejmeter
2.7:rc3
apachejmeter
2.8
apachejmeter
2.8:rc1
apachejmeter
2.8:rc2
apachejmeter
2.9
apachejmeter
2.9:rc1
apachejmeter
2.9:rc2
apachejmeter
2.9:rc3
apachejmeter
2.10:rc1
apachejmeter
2.10:rc2
apachejmeter
2.11
apachejmeter
2.11:rc1
apachejmeter
2.11:rc2
apachejmeter
2.12
apachejmeter
2.12:rc1
apachejmeter
2.12:rc2
apachejmeter
2.13
apachejmeter
2.13:rc1
apachejmeter
2.13:rc2
apachejmeter
3.0
apachejmeter
3.0:rc1
apachejmeter
3.0:rc2
apachejmeter
3.0:rc3
apachejmeter
3.0:rc4
apachejmeter
3.0:rc5
apachejmeter
3.1
apachejmeter
3.1:rc1
apachejmeter
3.1:rc2
apachejmeter
3.1:rc3
apachejmeter
3.1:rc4
apachejmeter
3.2
apachejmeter
3.2:rc1
apachejmeter
3.2:rc2
apachejmeter
3.2:rc3
apachejmeter
3.3
apachejmeter
3.3:rc1
𝑥
= Vulnerable software versions
Debian logo
Debian Releases
Debian Product
Codename
jakarta-jmeter
bullseye
no-dsa
bookworm
no-dsa
buster
no-dsa
stretch
no-dsa
jessie
no-dsa
wheezy
no-dsa
sid
vulnerable
Ubuntu logo
Ubuntu Releases
Ubuntu Product
Codename
jakarta-jmeter
noble
needs-triage
mantic
ignored
lunar
ignored
kinetic
ignored
jammy
needs-triage
impish
ignored
hirsute
ignored
groovy
ignored
focal
needs-triage
eoan
ignored
disco
ignored
cosmic
ignored
bionic
needs-triage
artful
ignored
xenial
needs-triage
trusty
dne
References
http://mail-archives.apache.org/mod_mbox/www-announce/201802.mbox/%3CCAH9fUpYsFx1%2Brwz1A%3Dmc7wAgbDHARyj1VrWNg41y9OySuL1mqw%40mail.gmail.com%3E
http://www.securityfocus.com/bid/103068
https://lists.apache.org/thread.html/31e0adbeca9d865ff74d0906b2248a41a1457cb54c1afbe5947df58b%40%3Cissues.jmeter.apache.org%3E
http://mail-archives.apache.org/mod_mbox/www-announce/201802.mbox/%3CCAH9fUpYsFx1%2Brwz1A%3Dmc7wAgbDHARyj1VrWNg41y9OySuL1mqw%40mail.gmail.com%3E
http://www.securityfocus.com/bid/103068
https://lists.apache.org/thread.html/31e0adbeca9d865ff74d0906b2248a41a1457cb54c1afbe5947df58b%40%3Cissues.jmeter.apache.org%3E