ГлавнаяБаза уязвимостей БДУ → BDU:2021-00912
10критическая

BDU:2021-00912

Уязвимость программной платформы Apache Struts, существующая из-за некорректной обработки выражений Object Graph Navigation Language, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2021-02-23
Описание

Уязвимость программной платформы Apache Struts существует из-за некорректной обработки выражений Object Graph Navigation Language (OGNL). Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Затрагиваемое ПО и версии
Business Intelligence Enterprise Edition (12.2.1.3.0)Business Intelligence Enterprise Edition (12.2.1.4.0)Oracle Financial Services Market Risk Measurement and Management (8.0.6)Oracle Financial Services Data Integration Hub (8.0.6)Struts (от 2.0.0 до 2.5.25)Oracle Financial Services Data Integration Hub (8.0.3)Hospitality Opera 5 (5.6)Oracle Communications Policy Management (12.5.0)Oracle Communications Pricing Design Center (12.0.0.3.0)MySQL Enterprise Monitor (до 8.0.23 включительно)
Способ устранения

Использование рекомендаций:
Для Apache Struts:
https://cwiki.apache.org/confluence/display/WW/S2-061

Для продуктов Oracle:
https://www.oracle.com//security-alerts/cpujul2021.html
https://www.oracle.com/security-alerts/cpuApr2021.html
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpujan2022.html
https://www.oracle.com/security-alerts/cpuoct2021.html

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
http://jvn.jp/en/jp/JVN43969166/index.htmlhttp://packetstormsecurity.com/files/160721/Apache-Struts-2-Forced-Multi-OGNL-Evaluation.htmlhttps://cwiki.apache.org/confluence/display/WW/S2-061https://security.netapp.com/advisory/ntap-20210115-0005/https://www.oracle.com//security-alerts/cpujul2021.htmlhttps://www.oracle.com/security-alerts/cpuApr2021.htmlhttps://www.oracle.com/security-alerts/cpujan2021.htmlhttps://www.oracle.com/security-alerts/cpujan2022.html
Проверьте безопасность своего сайта и почты → Полная проверка домена