6.8высокая
BDU:2015-09977 (CVE-2014-7809)
Уязвимость программной платформы Apache Struts, связанная с использованием предсказуемых значений <s:token/>, позволяющая удаленному нарушителю осуществить CSRF-атаку
Опубликовано: 2015-05-07
Описание
Уязвимость программной платформы Apache Struts связана с использованием предсказуемых значений <s:token/>. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить CSRF-атаку
Затрагиваемое ПО и версии
Struts (от 2.0.0 до 2.3.20)WebCenter Sites (11.1.1.8.0)Oracle FLEXCUBE Private Banking (12.1.0)WebCenter Sites (11.1.1.6.1)Oracle FLEXCUBE Private Banking (2.0.1)IBM Call Center for Commerce (9.5.0)IBM Call Center for Commerce (10.0)Oracle FLEXCUBE Private Banking (2.2.0)Oracle FLEXCUBE Private Banking (2.0.0)Oracle FLEXCUBE Private Banking (12.0.1)Oracle FLEXCUBE Private Banking (12.0.3)MySQL Enterprise Monitor (до 2.3.19 включительно)MySQL Enterprise Monitor (до 3.0.18 включительно)WebCenter Sites (12.2.1.0)
Способ устранения
Использование рекомендаций:
Для Apache Struts:
https://cwiki.apache.org/confluence/display/WW/S2-023
Для IBM Call Center for Commerce:
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-call-center-and-apache-struts-struts-upgrade-strategy-various-cves-see-below/
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuoct2016.html
https://www.oracle.com/security-alerts/cpuapr2015.html
https://www.oracle.com/security-alerts/cpujul2015.html
Оценка CVSS
| Балл | 6.8 — высокая опасность |
Источники и патчи