ГлавнаяБаза уязвимостей БДУ → BDU:2022-05820
5.8средняя

BDU:2022-05820 (CVE-2013-2248)

Уязвимость реализации механизма сопоставления действий DefaultActionMapper программной платформы Apache Struts, позволяющая нарушителю проводить фишинг-атаки
Опубликовано: 2022-09-21
Описание

Уязвимость реализации механизма сопоставления действий DefaultActionMapper программной платформы Apache Struts связана с недостаточной проверкой входных данных при обработке параметров redirect: и redirectAction: prefix. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить фишинг-атаки с помощью специально созданной ссылки

Затрагиваемое ПО и версии
WebCenter Sites (11.1.1.8.0)Oracle FLEXCUBE Private Banking (2.2.0.1)Oracle FLEXCUBE Private Banking (12.0.1.0)WebCenter Sites (11.1.1.6.1)Oracle FLEXCUBE Private Banking (1.7)Oracle FLEXCUBE Private Banking (2.0)Oracle FLEXCUBE Private Banking (2.0.1)Oracle FLEXCUBE Private Banking (3.0)Oracle FLEXCUBE Private Banking (12.0.2)MySQL Enterprise Monitor (до 2.3.14 включительно)MySQL Enterprise Monitor (от 3.0.0 до 3.0.4 включительно)IBM Call Center for Commerce (9.5.0)IBM Call Center for Commerce (10.0)Struts (от 2.0.0 до 2.3.15 включительно)Interstage Business Process Manager Analytics (12.0)Interstage Business Process Manager Analytics (12.1)
Способ устранения

Использование рекомендаций:
Для Apache Struts:
https://cwiki.apache.org/confluence/display/WW/S2-017

Для программных продуктов IBM:
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-call-center-and-apache-struts-struts-upgrade-strategy-various-cves-see-below/

Для программных продуктов Fujitsu:
https://www.fujitsu.com/global/support/products/software/security/products-f/interstage-bpm-analytics-201301e.html

Для программных продуктов Oracle:
https://www.oracle.com/security-alerts/cpuoct2013.html
https://www.oracle.com/security-alerts/cpujan2014.html

Оценка CVSS
Балл5.8 — средняя опасность
Источники и патчи
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-call-center-and-apache-struts-struts-upgrade-strategy-various-cves-see-below/http://struts.apache.org/release/2.3.x/docs/s2-017.htmlhttp://www.fujitsu.com/global/support/software/security/products-f/interstage-bpm-analytics-201301e.htmlhttp://www.oracle.com/technetwork/topics/security/cpujan2014-1972949.htmlhttp://www.oracle.com/technetwork/topics/security/cpuoct2013-1899837.htmlhttps://nvd.nist.gov/vuln/detail/CVE-2013-2248
Проверьте безопасность своего сайта и почты → Полная проверка домена