Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-05908

Опубликовано: 03 авг. 2012
Источник: fstec
CVSS3: 8.3
CVSS2: 7.5
EPSS Низкий

Описание

Уязвимость реализации механизма проверки токенов программной платформы Apache Struts связана с недостаточной проверкой подлинности выполняемых запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить CSRF-атаку

Вендор

IBM Corp.
Apache Software Foundation

Наименование ПО

IBM Call Center for Commerce
Struts

Версия ПО

9.5.0 (IBM Call Center for Commerce)
10.0 (IBM Call Center for Commerce)
от 2.0.0 до 2.3.4.1 (Struts)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Apache Struts:
https://cwiki.apache.org/confluence/display/WW/S2-010
Для программных продуктов IBM Corp.:
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-call-center-and-apache-struts-struts-upgrade-strategy-various-cves-see-below/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 87%
0.03235
Низкий

8.3 High

CVSS3

7.5 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2012-4386

ubuntu
больше 13 лет назад

The token check mechanism in Apache Struts 2.0.0 through 2.3.4 does not properly validate the token name configuration parameter, which allows remote attackers to perform cross-site request forgery (CSRF) attacks by setting the token name configuration parameter to a session attribute.

redhat логотип

CVE-2012-4386

redhat
больше 13 лет назад

The token check mechanism in Apache Struts 2.0.0 through 2.3.4 does not properly validate the token name configuration parameter, which allows remote attackers to perform cross-site request forgery (CSRF) attacks by setting the token name configuration parameter to a session attribute.

nvd логотип

CVE-2012-4386

nvd
больше 13 лет назад

The token check mechanism in Apache Struts 2.0.0 through 2.3.4 does not properly validate the token name configuration parameter, which allows remote attackers to perform cross-site request forgery (CSRF) attacks by setting the token name configuration parameter to a session attribute.

debian логотип

CVE-2012-4386

debian
больше 13 лет назад

The token check mechanism in Apache Struts 2.0.0 through 2.3.4 does no ...

github логотип

GHSA-2rvh-q539-q33v

github
больше 3 лет назад

Cross-Site Request Forgery in Apache Struts

EPSS

Процентиль: 87%
0.03235
Низкий

8.3 High

CVSS3

7.5 High

CVSS2