Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-06204

Опубликовано: 03 авг. 2012
Источник: fstec
CVSS3: 5.3
CVSS2: 5
EPSS Средний

Описание

Уязвимость программной платформы Apache Struts связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании с помощью специально созданных запросов с очень длинными именами параметров

Вендор

IBM Corp.
Apache Software Foundation

Наименование ПО

IBM Call Center for Commerce
Struts

Версия ПО

9.5.0 (IBM Call Center for Commerce)
10.0 (IBM Call Center for Commerce)
до 2.3.4.1 (Struts)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Apache Struts:
Рекомендации производителя:
https://cwiki.apache.org/confluence/display/WW/S2-011
https://issues.apache.org/jira/browse/WW-3860
Организационные меры:
ограничение длины имени параметра путем указания нового параметра paramNameMaxLength в конфигурации ParametersInteceptor.
Для IBM Call Center for Commerce:
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-call-center-and-apache-struts-struts-upgrade-strategy-various-cves-see-below/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 94%
0.12943
Средний

5.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2012-4387

ubuntu
больше 13 лет назад

Apache Struts 2.0.0 through 2.3.4 allows remote attackers to cause a denial of service (CPU consumption) via a long parameter name, which is processed as an OGNL expression.

redhat логотип

CVE-2012-4387

redhat
больше 13 лет назад

Apache Struts 2.0.0 through 2.3.4 allows remote attackers to cause a denial of service (CPU consumption) via a long parameter name, which is processed as an OGNL expression.

nvd логотип

CVE-2012-4387

nvd
больше 13 лет назад

Apache Struts 2.0.0 through 2.3.4 allows remote attackers to cause a denial of service (CPU consumption) via a long parameter name, which is processed as an OGNL expression.

debian логотип

CVE-2012-4387

debian
больше 13 лет назад

Apache Struts 2.0.0 through 2.3.4 allows remote attackers to cause a d ...

github логотип

GHSA-hrgc-54mv-58gv

github
больше 3 лет назад

Denial of service in Apache Struts

EPSS

Процентиль: 94%
0.12943
Средний

5.3 Medium

CVSS3

5 Medium

CVSS2