Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-05819

Опубликовано: 01 сент. 2015
Источник: fstec
CVSS3: 6.1
CVSS2: 6.4
EPSS Низкий

Описание

Уязвимость реализации класса URLDecoder программной платформы Java Runtime Environment и средства разработки приложений Java Development Kit связана с использованием однобайтового кодирования страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить межсайтовые сценарные атаки

Вендор

IBM Corp.
Apache Software Foundation
Oracle Corp.

Наименование ПО

IBM Call Center for Commerce
Struts
Java Runtime Environment
Java Development Kit

Версия ПО

9.5.0 (IBM Call Center for Commerce)
10.0 (IBM Call Center for Commerce)
от 2.0.0 до 2.3.28 (Struts)
до 1.8 (Java Runtime Environment)
до 1.8 (Java Development Kit)

Тип ПО

Прикладное ПО информационных систем
ПО виртуализации/ПО виртуального программно-аппаратного средства

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)

Возможные меры по устранению уязвимости

Использование рекомндаций:
Для программных продуктов Oracle:
https://www.oracle.com/java/technologies/downloads/
https://www.java.com/releases/
Для Apache Struts:
https://git-wip-us.apache.org/repos/asf?p=struts.git;h=72471d7
https://cwiki.apache.org/confluence/display/WW/S2-028
https://issues.apache.org/jira/browse/WW-4507
Для программных продуктов IBM Corp.:
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-call-center-and-apache-struts-struts-upgrade-strategy-various-cves-see-below/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 87%
0.03402
Низкий

6.1 Medium

CVSS3

6.4 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2016-4003

CVSS3: 6.1
ubuntu
почти 10 лет назад

Cross-site scripting (XSS) vulnerability in the URLDecoder function in JRE before 1.8, as used in Apache Struts 2.x before 2.3.28, when using a single byte page encoding, allows remote attackers to inject arbitrary web script or HTML via multi-byte characters in a url-encoded parameter.

redhat логотип

CVE-2016-4003

redhat
почти 10 лет назад

Cross-site scripting (XSS) vulnerability in the URLDecoder function in JRE before 1.8, as used in Apache Struts 2.x before 2.3.28, when using a single byte page encoding, allows remote attackers to inject arbitrary web script or HTML via multi-byte characters in a url-encoded parameter.

nvd логотип

CVE-2016-4003

CVSS3: 6.1
nvd
почти 10 лет назад

Cross-site scripting (XSS) vulnerability in the URLDecoder function in JRE before 1.8, as used in Apache Struts 2.x before 2.3.28, when using a single byte page encoding, allows remote attackers to inject arbitrary web script or HTML via multi-byte characters in a url-encoded parameter.

debian логотип

CVE-2016-4003

CVSS3: 6.1
debian
почти 10 лет назад

Cross-site scripting (XSS) vulnerability in the URLDecoder function in ...

github логотип

GHSA-m3x6-9v6h-4g28

CVSS3: 6.1
github
больше 3 лет назад

Cross-site Scripting in Apache Struts

EPSS

Процентиль: 87%
0.03402
Низкий

6.1 Medium

CVSS3

6.4 Medium

CVSS2