10критическая
BDU:2021-00912
Уязвимость программной платформы Apache Struts, существующая из-за некорректной обработки выражений Object Graph Navigation Language, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2021-02-23
Описание
Уязвимость программной платформы Apache Struts существует из-за некорректной обработки выражений Object Graph Navigation Language (OGNL). Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
Затрагиваемое ПО и версии
Business Intelligence Enterprise Edition (12.2.1.3.0)Business Intelligence Enterprise Edition (12.2.1.4.0)Oracle Financial Services Market Risk Measurement and Management (8.0.6)Oracle Financial Services Data Integration Hub (8.0.6)Struts (от 2.0.0 до 2.5.25)Oracle Financial Services Data Integration Hub (8.0.3)Hospitality Opera 5 (5.6)Oracle Communications Policy Management (12.5.0)Oracle Communications Pricing Design Center (12.0.0.3.0)MySQL Enterprise Monitor (до 8.0.23 включительно)
Способ устранения
Использование рекомендаций:
Для Apache Struts:
https://cwiki.apache.org/confluence/display/WW/S2-061
Для продуктов Oracle:
https://www.oracle.com//security-alerts/cpujul2021.html
https://www.oracle.com/security-alerts/cpuApr2021.html
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpujan2022.html
https://www.oracle.com/security-alerts/cpuoct2021.html
Оценка CVSS
| Балл | 10 — критическая опасность |
Источники и патчи