ГлавнаяБаза уязвимостей БДУ → BDU:2015-00403
5.8средняя

BDU:2015-00403 (CVE-2014-0094)

Уязвимость реализации метода getClass класса CookieInterceptor программной платформы Apache Struts, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных
Опубликовано: 2016-07-06
Описание

Уязвимость реализации метода getClass класса CookieInterceptor программной платформы Apache Struts связана с недостатками разграничения доступа при обработке параметра cookiesName с символом «*» . Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ на чтение, изменение или удаление данных путем отправки специально созданного запроса

Затрагиваемое ПО и версии
Struts (от 2.0.0 до 2.3.16.3)WebCenter Sites (11.1.1.8.0)WebCenter Sites (11.1.1.6.1)IBM Call Center for Commerce (9.5.0)IBM Call Center for Commerce (10.0)WebCenter Sites (7.6.2)IBM Platform Symphony (5.2)IBM Platform Symphony (6.1.0)IBM Platform Symphony (6.1.1)
Способ устранения

Использование рекомендаций:
Для Apache Struts:
https://cwiki.apache.org/confluence/display/WW/S2-022

Для продуктов Oracle:
https://www.oracle.com/security-alerts/cpuapr2015.html

Для продуктов IBM Corp.:
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-call-center-and-apache-struts-struts-upgrade-strategy-various-cves-see-below/
https://www.ibm.com/support/pages/security-bulletin-ibm-platform-symphony-cve-2014-0094-cve-2014-0112-cve-2014-0113-cve-2014-0116

Оценка CVSS
Балл5.8 — средняя опасность
Источники и патчи
https://www.ibm.com/support/pages/security-bulletin-ibm-platform-symphony-cve-2014-0094-cve-2014-0112-cve-2014-0113-cve-2014-0116https://www.ibm.com/blogs/psirt/security-bulletin-ibm-call-center-and-apache-struts-struts-upgrade-strategy-various-cves-see-below/https://www.oracle.com/security-alerts/cpuapr2015.htmlhttps://nvd.nist.gov/vuln/detail/CVE-2014-0116
Проверьте безопасность своего сайта и почты → Полная проверка домена