Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2017-02058

Опубликовано: 05 сент. 2017
Источник: fstec
CVSS2: 7.6
EPSS Критический

Описание

Уязвимость плагина REST программной платформы Apache Struts существует из-за отсутствия фильтрации при десериализации загрузок XML. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Apache Software Foundation

Наименование ПО

Struts

Версия ПО

от 2.1.2 до 2.3.33 включительно (Struts)
от 2.5 до 2.5.12 включительно (Struts)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)

Возможные меры по устранению уязвимости

Использование рекомендаций разработчика:
https://struts.apache.org/docs/s2-052.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%
0.94322
Критический

7.6 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2017-9805

CVSS3: 8.1
ubuntu
больше 8 лет назад

The REST Plugin in Apache Struts 2.1.1 through 2.3.x before 2.3.34 and 2.5.x before 2.5.13 uses an XStreamHandler with an instance of XStream for deserialization without any type filtering, which can lead to Remote Code Execution when deserializing XML payloads.

redhat логотип

CVE-2017-9805

CVSS3: 8.1
redhat
больше 8 лет назад

The REST Plugin in Apache Struts 2.1.1 through 2.3.x before 2.3.34 and 2.5.x before 2.5.13 uses an XStreamHandler with an instance of XStream for deserialization without any type filtering, which can lead to Remote Code Execution when deserializing XML payloads.

nvd логотип

CVE-2017-9805

CVSS3: 8.1
nvd
больше 8 лет назад

The REST Plugin in Apache Struts 2.1.1 through 2.3.x before 2.3.34 and 2.5.x before 2.5.13 uses an XStreamHandler with an instance of XStream for deserialization without any type filtering, which can lead to Remote Code Execution when deserializing XML payloads.

debian логотип

CVE-2017-9805

CVSS3: 8.1
debian
больше 8 лет назад

The REST Plugin in Apache Struts 2.1.1 through 2.3.x before 2.3.34 and ...

github логотип

GHSA-gg9m-fj3v-r58c

CVSS3: 8.1
github
больше 7 лет назад

REST Plugin in Apache Struts uses an XStreamHandler with an instance of XStream for deserialization without any type filtering

EPSS

Процентиль: 100%
0.94322
Критический

7.6 High

CVSS2