CVE-2014-0114

Опубликовано: 30 апр. 2014

Источник: nvd

CVSS2: 7.5

EPSS Критический

Описание

Apache Commons BeanUtils, as distributed in lib/commons-beanutils-1.8.0.jar in Apache Struts 1.x through 1.3.10 and in other products requiring commons-beanutils through 1.9.2, does not suppress the class property, which allows remote attackers to "manipulate" the ClassLoader and execute arbitrary code via the class parameter, as demonstrated by the passing of this parameter to the getClass method of the ActionForm object in Struts 1.

Ссылки

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:apache:commons_beanutils:*:*:*:*:*:*:*:*

Версия до 1.9.1 (включая)

Конфигурация 2

Одно из

cpe:2.3:a:apache:struts:1.0:*:*:*:*:*:*:*

cpe:2.3:a:apache:struts:1.0.2:*:*:*:*:*:*:*

cpe:2.3:a:apache:struts:1.1:*:*:*:*:*:*:*

cpe:2.3:a:apache:struts:1.1:b1:*:*:*:*:*:*

cpe:2.3:a:apache:struts:1.1:b2:*:*:*:*:*:*

cpe:2.3:a:apache:struts:1.1:b3:*:*:*:*:*:*

cpe:2.3:a:apache:struts:1.1:rc1:*:*:*:*:*:*

cpe:2.3:a:apache:struts:1.1:rc2:*:*:*:*:*:*

cpe:2.3:a:apache:struts:1.2.2:*:*:*:*:*:*:*

cpe:2.3:a:apache:struts:1.2.4:*:*:*:*:*:*:*

cpe:2.3:a:apache:struts:1.2.6:*:*:*:*:*:*:*

cpe:2.3:a:apache:struts:1.2.7:*:*:*:*:*:*:*

cpe:2.3:a:apache:struts:1.2.8:*:*:*:*:*:*:*

cpe:2.3:a:apache:struts:1.2.9:*:*:*:*:*:*:*

cpe:2.3:a:apache:struts:1.3.5:*:*:*:*:*:*:*

cpe:2.3:a:apache:struts:1.3.8:*:*:*:*:*:*:*

cpe:2.3:a:apache:struts:1.3.10:*:*:*:*:*:*:*

EPSS

Процентиль: 100%

0.92315

Критический

7.5 High

CVSS2

Дефекты

CWE-20

Связанные уязвимости

CVE-2014-0114

ubuntu

больше 11 лет назад

CVE-2014-0114

redhat

больше 11 лет назад

CVE-2014-0114

debian

больше 11 лет назад

Apache Commons BeanUtils, as distributed in lib/commons-beanutils-1.8. ...

GHSA-p66x-2cv9-qq3v

github

около 5 лет назад

Arbitrary code execution in Apache Commons BeanUtils

ELSA-2014-0474

oracle-oval

больше 11 лет назад

ELSA-2014-0474: struts security update (IMPORTANT)

EPSS

Процентиль: 100%

0.92315

Критический

7.5 High

CVSS2

Дефекты

CWE-20