ГлавнаяБаза уязвимостей БДУ → BDU:2022-05996
9.3высокая

BDU:2022-05996 (CVE-2016-3081)

Уязвимость реализации механизма Dynamic Method Invocation (DMI) программной платформы Apache Struts, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-09-30
Описание

Уязвимость реализации механизма Dynamic Method Invocation (DMI) программной платформы Apache Struts связана с непринятием мер по очистке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Затрагиваемое ПО и версии
Oracle FLEXCUBE Private Banking (2.0.0.0)Oracle FLEXCUBE Private Banking (12.0.1.0)Oracle FLEXCUBE Private Banking (12.0.3.0)Oracle FLEXCUBE Private Banking (12.1.0.0)Oracle FLEXCUBE Private Banking (2.0.1)IBM Call Center for Commerce (9.5.0)IBM Call Center for Commerce (10.0)Struts (от 2.3.20 до 2.3.20.3)Struts (от 2.3.21 до 2.3.24.3)Struts (от 2.3.25 до 2.3.28)MICROS Retail XBRi Loss Prevention (10.0.1)MICROS Retail XBRi Loss Prevention (10.5.0)MICROS Retail XBRi Loss Prevention (10.6.0)MICROS Retail XBRi Loss Prevention (10.7.0)MICROS Retail XBRi Loss Prevention (10.8.0)MICROS Retail XBRi Loss Prevention (10.8.1)Siebel Apps - E-Billing (7.1)Oracle FLEXCUBE Private Banking (2.2.0)
Способ устранения

Использование рекомендаций:
Для Apache Struts:
https://cwiki.apache.org/confluence/display/WW/S2-032

Для программных продуктов IBM:
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-call-center-and-apache-struts-struts-upgrade-strategy-various-cves-see-below/

Для программных продуктов Oracle:
http://www.oracle.com/technetwork/security-advisory/cpujul2016-2881720.html
http://www.oracle.com/technetwork/security-advisory/cpuoct2016-2881722.html

Компенсирующие меры:
Следует отключить механизм Dynamic Method Invocation (DMI)

Оценка CVSS
Балл9.3 — высокая опасность
Источники и патчи
http://www.oracle.com/technetwork/security-advisory/cpujul2016-2881720.htmlhttp://www.oracle.com/technetwork/security-advisory/cpuoct2016-2881722.htmlhttps://www.rapid7.com/db/modules/exploit/multi/http/struts_dmi_exec/https://cwiki.apache.org/confluence/display/WW/S2-032https://www.exploit-db.com/exploits/39756/https://nvd.nist.gov/vuln/detail/CVE-2016-3081https://www.ibm.com/blogs/psirt/security-bulletin-ibm-call-center-and-apache-struts-struts-upgrade-strategy-various-cves-see-below/
Проверьте безопасность своего сайта и почты → Полная проверка домена