Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2018-11776

Опубликовано: 22 авг. 2018
Источник: nvd
CVSS3: 8.1
CVSS2: 9.3
EPSS Критический

Описание

Apache Struts versions 2.3 to 2.3.34 and 2.5 to 2.5.16 suffer from possible Remote Code Execution when alwaysSelectFullNamespace is true (either by user or a plugin like Convention Plugin) and then: results are used with no namespace and in same time, its upper package have no or wildcard namespace and similar to results, same possibility when using url tag which doesn't have value and action set and in same time, its upper package have no or wildcard namespace.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:apache:struts:*:*:*:*:*:*:*:*
Версия от 2.0.4 (включая) до 2.3.35 (исключая)
cpe:2.3:a:apache:struts:*:*:*:*:*:*:*:*
Версия от 2.5.0 (включая) до 2.5.17 (исключая)
Конфигурация 2

Одно из

cpe:2.3:a:netapp:active_iq_unified_manager:*:*:*:*:*:windows:*:*
Версия от 7.3 (включая)
cpe:2.3:a:netapp:active_iq_unified_manager:*:*:*:*:*:vmware_vsphere:*:*
Версия от 9.5 (включая)
cpe:2.3:a:netapp:oncommand_insight:-:*:*:*:*:*:*:*
cpe:2.3:a:netapp:oncommand_workflow_automation:-:*:*:*:*:*:*:*
cpe:2.3:a:netapp:snapcenter:-:*:*:*:*:*:*:*
Конфигурация 3

Одно из

cpe:2.3:a:oracle:communications_policy_management:*:*:*:*:*:*:*:*
Версия до 12.5.0 (исключая)
cpe:2.3:a:oracle:enterprise_manager_base_platform:13.3.0.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:enterprise_manager_base_platform:13.4.0.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:mysql_enterprise_monitor:*:*:*:*:*:*:*:*
Версия до 3.4.9.4237 (включая)
cpe:2.3:a:oracle:mysql_enterprise_monitor:*:*:*:*:*:*:*:*
Версия от 4.0.0 (включая) до 4.0.6.5281 (включая)
cpe:2.3:a:oracle:mysql_enterprise_monitor:*:*:*:*:*:*:*:*
Версия от 8.0.0 (включая) до 8.0.2.8191 (включая)

EPSS

Процентиль: 100%
0.94431
Критический

8.1 High

CVSS3

9.3 Critical

CVSS2

Дефекты

NVD-CWE-noinfo

Связанные уязвимости

ubuntu логотип

CVE-2018-11776

CVSS3: 8.1
ubuntu
больше 7 лет назад

Apache Struts versions 2.3 to 2.3.34 and 2.5 to 2.5.16 suffer from possible Remote Code Execution when alwaysSelectFullNamespace is true (either by user or a plugin like Convention Plugin) and then: results are used with no namespace and in same time, its upper package have no or wildcard namespace and similar to results, same possibility when using url tag which doesn't have value and action set and in same time, its upper package have no or wildcard namespace.

redhat логотип

CVE-2018-11776

CVSS3: 9.8
redhat
больше 7 лет назад

Apache Struts versions 2.3 to 2.3.34 and 2.5 to 2.5.16 suffer from possible Remote Code Execution when alwaysSelectFullNamespace is true (either by user or a plugin like Convention Plugin) and then: results are used with no namespace and in same time, its upper package have no or wildcard namespace and similar to results, same possibility when using url tag which doesn't have value and action set and in same time, its upper package have no or wildcard namespace.

debian логотип

CVE-2018-11776

CVSS3: 8.1
debian
больше 7 лет назад

Apache Struts versions 2.3 to 2.3.34 and 2.5 to 2.5.16 suffer from pos ...

github логотип

GHSA-cr6j-3jp9-rw65

CVSS3: 8.1
github
больше 7 лет назад

Apache Struts vulnerable to remote command execution (RCE) due to improper input validation

fstec логотип

BDU:2018-01069

CVSS3: 9.8
fstec
больше 7 лет назад

Уязвимость ядра программной платформы Apache Struts, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 100%
0.94431
Критический

8.1 High

CVSS3

9.3 Critical

CVSS2

Дефекты

NVD-CWE-noinfo