Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2017-5638

Опубликовано: 11 мар. 2017
Источник: nvd
CVSS3: 9.8
CVSS2: 10
EPSS Критический

Описание

The Jakarta Multipart parser in Apache Struts 2 2.3.x before 2.3.32 and 2.5.x before 2.5.10.1 has incorrect exception handling and error-message generation during file-upload attempts, which allows remote attackers to execute arbitrary commands via a crafted Content-Type, Content-Disposition, or Content-Length HTTP header, as exploited in the wild in March 2017 with a Content-Type header containing a #cmd= string.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:apache:struts:*:*:*:*:*:*:*:*
Версия от 2.2.3 (включая) до 2.3.32 (исключая)
cpe:2.3:a:apache:struts:*:*:*:*:*:*:*:*
Версия от 2.5.0 (включая) до 2.5.10.1 (исключая)
Конфигурация 2

Одновременно

Одно из

cpe:2.3:o:ibm:storwize_v3500_firmware:7.7.1.6:*:*:*:*:*:*:*
cpe:2.3:o:ibm:storwize_v3500_firmware:7.8.1.0:*:*:*:*:*:*:*
cpe:2.3:h:ibm:storwize_v3500:-:*:*:*:*:*:*:*
Конфигурация 3

Одновременно

Одно из

cpe:2.3:o:ibm:storwize_v5000_firmware:7.7.1.6:*:*:*:*:*:*:*
cpe:2.3:o:ibm:storwize_v5000_firmware:7.8.1.0:*:*:*:*:*:*:*
cpe:2.3:h:ibm:storwize_v5000:-:*:*:*:*:*:*:*
Конфигурация 4

Одновременно

Одно из

cpe:2.3:o:ibm:storwize_v7000_firmware:7.7.1.6:*:*:*:*:*:*:*
cpe:2.3:o:ibm:storwize_v7000_firmware:7.8.1.0:*:*:*:*:*:*:*
cpe:2.3:h:ibm:storwize_v7000:-:*:*:*:*:*:*:*
Конфигурация 5

Одновременно

Одно из

cpe:2.3:o:lenovo:storage_v5030_firmware:7.7.1.6:*:*:*:*:*:*:*
cpe:2.3:o:lenovo:storage_v5030_firmware:7.8.1.0:*:*:*:*:*:*:*
cpe:2.3:h:lenovo:storage_v5030:-:*:*:*:*:*:*:*
Конфигурация 6

Одно из

cpe:2.3:a:hp:server_automation:9.1.0:*:*:*:*:*:*:*
cpe:2.3:a:hp:server_automation:10.0.0:*:*:*:*:*:*:*
cpe:2.3:a:hp:server_automation:10.1.0:*:*:*:*:*:*:*
cpe:2.3:a:hp:server_automation:10.2.0:*:*:*:*:*:*:*
cpe:2.3:a:hp:server_automation:10.5.0:*:*:*:*:*:*:*
Конфигурация 7

Одно из

cpe:2.3:a:oracle:weblogic_server:10.3.6.0.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:weblogic_server:12.1.3.0.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:weblogic_server:12.2.1.1.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:weblogic_server:12.2.1.2.0:*:*:*:*:*:*:*
Конфигурация 8
cpe:2.3:a:arubanetworks:clearpass_policy_manager:*:*:*:*:*:*:*:*
Версия до 6.6.5 (исключая)
Конфигурация 9
cpe:2.3:a:netapp:oncommand_balance:-:*:*:*:*:*:*:*

EPSS

Процентиль: 100%
0.94267
Критический

9.8 Critical

CVSS3

10 Critical

CVSS2

Дефекты

CWE-755
CWE-755

Связанные уязвимости

ubuntu логотип

CVE-2017-5638

CVSS3: 9.8
ubuntu
почти 9 лет назад

The Jakarta Multipart parser in Apache Struts 2 2.3.x before 2.3.32 and 2.5.x before 2.5.10.1 has incorrect exception handling and error-message generation during file-upload attempts, which allows remote attackers to execute arbitrary commands via a crafted Content-Type, Content-Disposition, or Content-Length HTTP header, as exploited in the wild in March 2017 with a Content-Type header containing a #cmd= string.

redhat логотип

CVE-2017-5638

CVSS3: 9.8
redhat
почти 9 лет назад

The Jakarta Multipart parser in Apache Struts 2 2.3.x before 2.3.32 and 2.5.x before 2.5.10.1 has incorrect exception handling and error-message generation during file-upload attempts, which allows remote attackers to execute arbitrary commands via a crafted Content-Type, Content-Disposition, or Content-Length HTTP header, as exploited in the wild in March 2017 with a Content-Type header containing a #cmd= string.

debian логотип

CVE-2017-5638

CVSS3: 9.8
debian
почти 9 лет назад

The Jakarta Multipart parser in Apache Struts 2 2.3.x before 2.3.32 an ...

github логотип

GHSA-j77q-2qqg-6989

CVSS3: 10
github
больше 7 лет назад

Apache Struts vulnerable to remote arbitrary command execution due to improper input validation

fstec логотип

BDU:2017-02060

fstec
почти 9 лет назад

Уязвимость парсера Jakarta Multipart программной платформы Apache Struts, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 100%
0.94267
Критический

9.8 Critical

CVSS3

10 Critical

CVSS2

Дефекты

CWE-755
CWE-755