ГлавнаяБаза уязвимостей БДУ → BDU:2014-00389
5средняя

BDU:2014-00389 (CVE-2014-0414)

Уязвимость программной платформы Oracle Fusion Middleware, позволяющая злоумышленнику выполнить произвольные команды, нарушить логику работы сценария, получить исходный код сценария
Опубликовано: 2016-07-05
Описание

Уязвимость компонента Oracle Containers платформы J2EE в программном обеспечении Oracle Fusion Middleware, связанная с ошибкой, возникающей из-за некорректной обработки нулевого байта в пути при передаче запроса на другую статическую страницу или JSP-сценарий функциями pageContext.forward или jsp:forward. Эксплуатация данной уязвимости позволяет нарушить логику обработки сценария глобальными сервлетами. Например, злоумышленник может сформировать запрос на обработку JSP-сценария как SHTML и таким образом получить исходный код сценария. В случае работы приложения на операционной системе Windows в совокупности с уязвимостью «Обход каталога» нарушение логики обработки может привести к выполнению произвольных команд при вызове файла содержащего SHTML-код (например, загруженное злоумышленником изображение или зараженный журнал) как SHTML-сценария

Затрагиваемое ПО и версии
Fusion Middleware (10.1.3.5)
Способ устранения

Обновление программного обеспечения до версии 10.1.3.6 или выше

Оценка CVSS
Балл5 — средняя опасность
Источники и патчи
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0414http://securitylab.ru/lab/PT-2013-49
Проверьте безопасность своего сайта и почты → Полная проверка домена