Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-05820

Опубликовано: 09 июл. 2013
Источник: fstec
CVSS3: 6.1
CVSS2: 5.8
EPSS Критический

Описание

Уязвимость реализации механизма сопоставления действий DefaultActionMapper программной платформы Apache Struts связана с недостаточной проверкой входных данных при обработке параметров redirect: и redirectAction: prefix. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить фишинг-атаки с помощью специально созданной ссылки

Вендор

Oracle Corp.
IBM Corp.
Apache Software Foundation
Fujitsu Limited

Наименование ПО

WebCenter Sites
Oracle FLEXCUBE Private Banking
MySQL Enterprise Monitor
IBM Call Center for Commerce
Struts
Interstage Business Process Manager Analytics

Версия ПО

11.1.1.8.0 (WebCenter Sites)
2.2.0.1 (Oracle FLEXCUBE Private Banking)
12.0.1.0 (Oracle FLEXCUBE Private Banking)
11.1.1.6.1 (WebCenter Sites)
1.7 (Oracle FLEXCUBE Private Banking)
2.0 (Oracle FLEXCUBE Private Banking)
2.0.1 (Oracle FLEXCUBE Private Banking)
3.0 (Oracle FLEXCUBE Private Banking)
12.0.2 (Oracle FLEXCUBE Private Banking)
до 2.3.14 включительно (MySQL Enterprise Monitor)
от 3.0.0 до 3.0.4 включительно (MySQL Enterprise Monitor)
9.5.0 (IBM Call Center for Commerce)
10.0 (IBM Call Center for Commerce)
от 2.0.0 до 2.3.15 включительно (Struts)
12.0 (Interstage Business Process Manager Analytics)
12.1 (Interstage Business Process Manager Analytics)

Тип ПО

Программное средство защиты
Прикладное ПО информационных систем
Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Apache Struts:
https://cwiki.apache.org/confluence/display/WW/S2-017
Для программных продуктов IBM:
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-call-center-and-apache-struts-struts-upgrade-strategy-various-cves-see-below/
Для программных продуктов Fujitsu:
https://www.fujitsu.com/global/support/products/software/security/products-f/interstage-bpm-analytics-201301e.html
Для программных продуктов Oracle:
https://www.oracle.com/security-alerts/cpuoct2013.html
https://www.oracle.com/security-alerts/cpujan2014.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%
0.93176
Критический

6.1 Medium

CVSS3

5.8 Medium

CVSS2

Связанные уязвимости

redhat логотип

CVE-2013-2248

redhat
больше 12 лет назад

Multiple open redirect vulnerabilities in Apache Struts 2.0.0 through 2.3.15 allow remote attackers to redirect users to arbitrary web sites and conduct phishing attacks via a URL in a parameter using the (1) redirect: or (2) redirectAction: prefix.

nvd логотип

CVE-2013-2248

nvd
больше 12 лет назад

Multiple open redirect vulnerabilities in Apache Struts 2.0.0 through 2.3.15 allow remote attackers to redirect users to arbitrary web sites and conduct phishing attacks via a URL in a parameter using the (1) redirect: or (2) redirectAction: prefix.

debian логотип

CVE-2013-2248

debian
больше 12 лет назад

Multiple open redirect vulnerabilities in Apache Struts 2.0.0 through ...

github логотип

GHSA-rpj9-r897-wc6q

github
больше 3 лет назад

Open redirect in Apache Struts

EPSS

Процентиль: 100%
0.93176
Критический

6.1 Medium

CVSS3

5.8 Medium

CVSS2