Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-06073

Опубликовано: 09 сент. 2013
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость реализации механизма Dynamic Method Invocation (DMI) программной платформы Apache Struts связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Вендор

Oracle Corp.
IBM Corp.
Apache Software Foundation

Наименование ПО

WebCenter Sites
Oracle FLEXCUBE Private Banking
MySQL Enterprise Monitor
IBM Call Center for Commerce
Struts

Версия ПО

11.1.1.8.0 (WebCenter Sites)
2.2.0.1 (Oracle FLEXCUBE Private Banking)
12.0.1.0 (Oracle FLEXCUBE Private Banking)
11.1.1.6.1 (WebCenter Sites)
1.7 (Oracle FLEXCUBE Private Banking)
2.0 (Oracle FLEXCUBE Private Banking)
2.0.1 (Oracle FLEXCUBE Private Banking)
3.0 (Oracle FLEXCUBE Private Banking)
12.0.2 (Oracle FLEXCUBE Private Banking)
до 2.3.14 включительно (MySQL Enterprise Monitor)
от 3.0.0 до 3.0.4 включительно (MySQL Enterprise Monitor)
9.5.0 (IBM Call Center for Commerce)
10.0 (IBM Call Center for Commerce)
от 2.0.0 до 2.3.15.1 включительно (Struts)

Тип ПО

Программное средство защиты
Прикладное ПО информационных систем
Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Apache Struts:
https://cwiki.apache.org/confluence/display/WW/S2-019
Для программных продуктов IBM:
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-call-center-and-apache-struts-struts-upgrade-strategy-various-cves-see-below/
Для программных продуктов Oracle:
https://www.oracle.com/security-alerts/cpujan2014.html
Компенсирующие меры:
Следует отключить механизм Dynamic Method Invocation (DMI):
<constant name="struts.enable.DynamicMethodInvocation" value="false"/>

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 91%
0.06168
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2013-4316

ubuntu
больше 12 лет назад

Apache Struts 2.0.0 through 2.3.15.1 enables Dynamic Method Invocation by default, which has unknown impact and attack vectors.

redhat логотип

CVE-2013-4316

redhat
больше 12 лет назад

Apache Struts 2.0.0 through 2.3.15.1 enables Dynamic Method Invocation by default, which has unknown impact and attack vectors.

nvd логотип

CVE-2013-4316

nvd
больше 12 лет назад

Apache Struts 2.0.0 through 2.3.15.1 enables Dynamic Method Invocation by default, which has unknown impact and attack vectors.

debian логотип

CVE-2013-4316

debian
больше 12 лет назад

Apache Struts 2.0.0 through 2.3.15.1 enables Dynamic Method Invocation ...

github логотип

GHSA-j7h6-xr7g-m2c5

github
больше 3 лет назад

Code injection in Apache Struts

EPSS

Процентиль: 91%
0.06168
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2