ГлавнаяБаза уязвимостей БДУ → BDU:2015-09977
6.8высокая

BDU:2015-09977 (CVE-2014-7809)

Уязвимость программной платформы Apache Struts, связанная с использованием предсказуемых значений <s:token/>, позволяющая удаленному нарушителю осуществить CSRF-атаку
Опубликовано: 2015-05-07
Описание

Уязвимость программной платформы Apache Struts связана с использованием предсказуемых значений <s:token/>. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить CSRF-атаку

Затрагиваемое ПО и версии
Struts (от 2.0.0 до 2.3.20)WebCenter Sites (11.1.1.8.0)Oracle FLEXCUBE Private Banking (12.1.0)WebCenter Sites (11.1.1.6.1)Oracle FLEXCUBE Private Banking (2.0.1)IBM Call Center for Commerce (9.5.0)IBM Call Center for Commerce (10.0)Oracle FLEXCUBE Private Banking (2.2.0)Oracle FLEXCUBE Private Banking (2.0.0)Oracle FLEXCUBE Private Banking (12.0.1)Oracle FLEXCUBE Private Banking (12.0.3)MySQL Enterprise Monitor (до 2.3.19 включительно)MySQL Enterprise Monitor (до 3.0.18 включительно)WebCenter Sites (12.2.1.0)
Способ устранения

Использование рекомендаций:

Для Apache Struts:
https://cwiki.apache.org/confluence/display/WW/S2-023

Для IBM Call Center for Commerce:
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-call-center-and-apache-struts-struts-upgrade-strategy-various-cves-see-below/

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuoct2016.html
https://www.oracle.com/security-alerts/cpuapr2015.html
https://www.oracle.com/security-alerts/cpujul2015.html

Оценка CVSS
Балл6.8 — высокая опасность
Источники и патчи
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-7809http://struts.apache.org/docs/s2-023.htmlhttps://packetstormsecurity.com/files/129421/Apache-Struts-2.3.20-Security-Fixes.htmlhttp://www.securityfocus.com/bid/71548http://www.securityfocus.com/archive/1/534175/100/0/threadedhttps://www.securitytracker.com/id/1031309https://www.ibm.com/blogs/psirt/security-bulletin-ibm-call-center-and-apache-struts-struts-upgrade-strategy-various-cves-see-below/https://www.oracle.com/security-alerts/cpuoct2016.html
Проверьте безопасность своего сайта и почты → Полная проверка домена