Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-06000

Опубликовано: 03 окт. 2013
Источник: fstec
CVSS3: 7.2
CVSS2: 5.8
EPSS Средний

Описание

Уязвимость реализации механизма сопоставления действий DefaultActionMapper программной платформы Apache Struts связана с недостатками разграничения доступа при обработке параметра action: prefix. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности

Вендор

Oracle Corp.
IBM Corp.
Apache Software Foundation

Наименование ПО

WebCenter Sites
Oracle FLEXCUBE Private Banking
MySQL Enterprise Monitor
IBM Call Center for Commerce
Struts

Версия ПО

11.1.1.8.0 (WebCenter Sites)
2.2.0.1 (Oracle FLEXCUBE Private Banking)
12.0.1.0 (Oracle FLEXCUBE Private Banking)
11.1.1.6.1 (WebCenter Sites)
1.7 (Oracle FLEXCUBE Private Banking)
2.0 (Oracle FLEXCUBE Private Banking)
2.0.1 (Oracle FLEXCUBE Private Banking)
3.0 (Oracle FLEXCUBE Private Banking)
12.0.2 (Oracle FLEXCUBE Private Banking)
до 2.3.14 включительно (MySQL Enterprise Monitor)
от 3.0.0 до 3.0.4 включительно (MySQL Enterprise Monitor)
9.5.0 (IBM Call Center for Commerce)
10.0 (IBM Call Center for Commerce)
от 2.0.0 до 2.3.15.1 включительно (Struts)

Тип ПО

Программное средство защиты
Прикладное ПО информационных систем
Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,2)

Возможные меры по устранению уязвимости

Использование рекомндаций:
Для Apache Struts:
https://cwiki.apache.org/confluence/display/WW/S2-018
Для программных продуктов IBM Corp.:
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-call-center-and-apache-struts-struts-upgrade-strategy-various-cves-see-below/
Для программных продуктов Oracle:
https://www.oracle.com/security-alerts/cpujan2014.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 93%
0.11397
Средний

7.2 High

CVSS3

5.8 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2013-4310

ubuntu
больше 12 лет назад

Apache Struts 2.0.0 through 2.3.15.1 allows remote attackers to bypass access controls via a crafted action: prefix.

redhat логотип

CVE-2013-4310

redhat
больше 12 лет назад

Apache Struts 2.0.0 through 2.3.15.1 allows remote attackers to bypass access controls via a crafted action: prefix.

nvd логотип

CVE-2013-4310

nvd
больше 12 лет назад

Apache Struts 2.0.0 through 2.3.15.1 allows remote attackers to bypass access controls via a crafted action: prefix.

debian логотип

CVE-2013-4310

debian
больше 12 лет назад

Apache Struts 2.0.0 through 2.3.15.1 allows remote attackers to bypass ...

github логотип

GHSA-q5q8-jghf-3pm3

github
больше 3 лет назад

Apache Struts2 Broken Access Control Vulnerability

EPSS

Процентиль: 93%
0.11397
Средний

7.2 High

CVSS3

5.8 Medium

CVSS2