9.3высокая
BDU:2022-05996 (CVE-2016-3081)
Уязвимость реализации механизма Dynamic Method Invocation (DMI) программной платформы Apache Struts, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-09-30
Описание
Уязвимость реализации механизма Dynamic Method Invocation (DMI) программной платформы Apache Struts связана с непринятием мер по очистке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
Затрагиваемое ПО и версии
Oracle FLEXCUBE Private Banking (2.0.0.0)Oracle FLEXCUBE Private Banking (12.0.1.0)Oracle FLEXCUBE Private Banking (12.0.3.0)Oracle FLEXCUBE Private Banking (12.1.0.0)Oracle FLEXCUBE Private Banking (2.0.1)IBM Call Center for Commerce (9.5.0)IBM Call Center for Commerce (10.0)Struts (от 2.3.20 до 2.3.20.3)Struts (от 2.3.21 до 2.3.24.3)Struts (от 2.3.25 до 2.3.28)MICROS Retail XBRi Loss Prevention (10.0.1)MICROS Retail XBRi Loss Prevention (10.5.0)MICROS Retail XBRi Loss Prevention (10.6.0)MICROS Retail XBRi Loss Prevention (10.7.0)MICROS Retail XBRi Loss Prevention (10.8.0)MICROS Retail XBRi Loss Prevention (10.8.1)Siebel Apps - E-Billing (7.1)Oracle FLEXCUBE Private Banking (2.2.0)
Способ устранения
Использование рекомендаций:
Для Apache Struts:
https://cwiki.apache.org/confluence/display/WW/S2-032
Для программных продуктов IBM:
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-call-center-and-apache-struts-struts-upgrade-strategy-various-cves-see-below/
Для программных продуктов Oracle:
http://www.oracle.com/technetwork/security-advisory/cpujul2016-2881720.html
http://www.oracle.com/technetwork/security-advisory/cpuoct2016-2881722.html
Компенсирующие меры:
Следует отключить механизм Dynamic Method Invocation (DMI)
Оценка CVSS
| Балл | 9.3 — высокая опасность |
Источники и патчи