Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-06025

Опубликовано: 24 мая 2013
Источник: fstec
CVSS3: 8.1
CVSS2: 7.6
EPSS Высокий

Описание

Уязвимость программной платформы Apache Struts связана с неверным управлением генерацией кода при обработке атрибута includeParams. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем отправки специально созданного запроса

Вендор

IBM Corp.
Apache Software Foundation

Наименование ПО

IBM Call Center for Commerce
Struts

Версия ПО

9.5.0 (IBM Call Center for Commerce)
10.0 (IBM Call Center for Commerce)
от 2.0.0 до 2.3.14.2 (Struts)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Apache Struts:
https://cwiki.apache.org/confluence/display/WW/S2-014
Для программных продуктов IBM Corp.:
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-call-center-and-apache-struts-struts-upgrade-strategy-various-cves-see-below/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%
0.89761
Высокий

8.1 High

CVSS3

7.6 High

CVSS2

Связанные уязвимости

redhat логотип

CVE-2013-2115

redhat
больше 12 лет назад

Apache Struts 2 before 2.3.14.2 allows remote attackers to execute arbitrary OGNL code via a crafted request that is not properly handled when using the includeParams attribute in the (1) URL or (2) A tag. NOTE: this issue is due to an incomplete fix for CVE-2013-1966.

nvd логотип

CVE-2013-2115

CVSS3: 8.1
nvd
больше 12 лет назад

Apache Struts 2 before 2.3.14.2 allows remote attackers to execute arbitrary OGNL code via a crafted request that is not properly handled when using the includeParams attribute in the (1) URL or (2) A tag. NOTE: this issue is due to an incomplete fix for CVE-2013-1966.

debian логотип

CVE-2013-2115

CVSS3: 8.1
debian
больше 12 лет назад

Apache Struts 2 before 2.3.14.2 allows remote attackers to execute arb ...

github логотип

GHSA-7ghm-rpc7-p7g5

CVSS3: 8.1
github
больше 3 лет назад

Code injection in Apache Struts

EPSS

Процентиль: 100%
0.89761
Высокий

8.1 High

CVSS3

7.6 High

CVSS2