Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-00912

Опубликовано: 10 дек. 2020
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Критический

Описание

Уязвимость программной платформы Apache Struts существует из-за некорректной обработки выражений Object Graph Navigation Language (OGNL). Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Вендор

Oracle Corp.
Apache Software Foundation

Наименование ПО

Business Intelligence Enterprise Edition
Oracle Financial Services Market Risk Measurement and Management
Oracle Financial Services Data Integration Hub
Struts
Hospitality Opera 5
Oracle Communications Policy Management
Oracle Communications Pricing Design Center
MySQL Enterprise Monitor

Версия ПО

12.2.1.3.0 (Business Intelligence Enterprise Edition)
12.2.1.4.0 (Business Intelligence Enterprise Edition)
8.0.6 (Oracle Financial Services Market Risk Measurement and Management)
8.0.6 (Oracle Financial Services Data Integration Hub)
от 2.0.0 до 2.5.25 (Struts)
8.0.3 (Oracle Financial Services Data Integration Hub)
5.6 (Hospitality Opera 5)
12.5.0 (Oracle Communications Policy Management)
12.0.0.3.0 (Oracle Communications Pricing Design Center)
до 8.0.23 включительно (MySQL Enterprise Monitor)

Тип ПО

ПО виртуализации/ПО виртуального программно-аппаратного средства
Прикладное ПО информационных систем
Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Apache Struts:
https://cwiki.apache.org/confluence/display/WW/S2-061
Для продуктов Oracle:
https://www.oracle.com//security-alerts/cpujul2021.html
https://www.oracle.com/security-alerts/cpuApr2021.html
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpujan2022.html
https://www.oracle.com/security-alerts/cpuoct2021.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%
0.94362
Критический

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2020-17530

CVSS3: 9.8
ubuntu
около 5 лет назад

Forced OGNL evaluation, when evaluated on raw user input in tag attributes, may lead to remote code execution. Affected software : Apache Struts 2.0.0 - Struts 2.5.25.

redhat логотип

CVE-2020-17530

CVSS3: 8.1
redhat
около 5 лет назад

Forced OGNL evaluation, when evaluated on raw user input in tag attributes, may lead to remote code execution. Affected software : Apache Struts 2.0.0 - Struts 2.5.25.

nvd логотип

CVE-2020-17530

CVSS3: 9.8
nvd
около 5 лет назад

Forced OGNL evaluation, when evaluated on raw user input in tag attributes, may lead to remote code execution. Affected software : Apache Struts 2.0.0 - Struts 2.5.25.

debian логотип

CVE-2020-17530

CVSS3: 9.8
debian
около 5 лет назад

Forced OGNL evaluation, when evaluated on raw user input in tag attrib ...

github логотип

GHSA-jc35-q369-45pv

CVSS3: 9.8
github
почти 4 года назад

Remote code execution in Apache Struts

EPSS

Процентиль: 100%
0.94362
Критический

9.8 Critical

CVSS3

10 Critical

CVSS2