ГлавнаяБаза уязвимостей БДУ → BDU:2022-05999
9.3критическая

BDU:2022-05999 (CVE-2013-2251)

Уязвимость реализации механизма сопоставления действий DefaultActionMapper программной платформы Apache Struts, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-09-30
Описание

Уязвимость реализации механизма сопоставления действий DefaultActionMapper программной платформы Apache Struts связана с недостаточной очисткой входных данных при обработке параметров action:, redirect: и redirectAction: prefix. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Затрагиваемое ПО и версии
WebCenter Sites (11.1.1.8.0)Oracle FLEXCUBE Private Banking (2.2.0.1)Oracle FLEXCUBE Private Banking (12.0.1.0)WebCenter Sites (11.1.1.6.1)Oracle FLEXCUBE Private Banking (1.7)Oracle FLEXCUBE Private Banking (2.0)Oracle FLEXCUBE Private Banking (2.0.1)Oracle FLEXCUBE Private Banking (3.0)Oracle FLEXCUBE Private Banking (12.0.2)MySQL Enterprise Monitor (до 2.3.14 включительно)MySQL Enterprise Monitor (от 3.0.0 до 3.0.4 включительно)IBM Call Center for Commerce (9.5.0)IBM Call Center for Commerce (10.0)Cisco Identity Services Engine (до 1.0.4.573-6)Cisco Identity Services Engine (от 1.1.0.665 до 1.1.0.665-4)Cisco Identity Services Engine (от 1.1.1.268 до 1.1.1.268-6)Cisco Identity Services Engine (от 1.1.2.145 до 1.1.2.145-9)Cisco Identity Services Engine (от 1.1.3.124 до 1.1.3.124-4)Cisco Identity Services Engine (от 1.1.4.218 до 1.1.4.218-4)Cisco Identity Services Engine (от 1.2.0.0 до 1.2.0.899)Cisco Unified Contact Center Enterprise (от 10.5 до 10.5(1))Cisco Unified Contact Center Enterprise (от 8.5(4) до 8.5(4)ES37)Cisco Unified Contact Center Enterprise (от 9.0(4) до 9.0(4)ES39)Cisco Unified Contact Center Enterprise (от 9.0(3) до 9.0(3)ES13)Cisco Media Experience Engine (MXE) 3500 Series (до 3.3.2)Struts (от 2.0.0 до 2.3.15 включительно)Interstage Business Process Manager Analytics (12.0)Interstage Business Process Manager Analytics (12.1)Siebel Apps - E-Billing (6.1)Siebel Apps - E-Billing (6.1.1)
Способ устранения

Использование рекомендаций:
Для Apache Struts:
https://cwiki.apache.org/confluence/display/WW/S2-016

Для программных продуктов IBM:
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-call-center-and-apache-struts-struts-upgrade-strategy-various-cves-see-below/

Для программных продуктов Cisco:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20131023-struts2

Для программных продуктов Fujitsu:
https://www.fujitsu.com/global/support/products/software/security/products-f/interstage-bpm-analytics-201301e.html

Для программных продуктов Oracle:
https://www.oracle.com/security-alerts/cpujan2014.html
https://www.oracle.com/security-alerts/cpujul2015.html

Оценка CVSS
Балл9.3 — критическая опасность
Источники и патчи
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-call-center-and-apache-struts-struts-upgrade-strategy-various-cves-see-below/https://exchange.xforce.ibmcloud.com/vulnerabilities/90392https://seclists.org/fulldisclosure/2013/Oct/96http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20131023-struts2https://cwiki.apache.org/confluence/display/WW/S2-016https://www.fujitsu.com/global/support/products/software/security/products-f/interstage-bpm-analytics-201301e.htmlhttps://www.oracle.com/security-alerts/cpujan2014.htmlhttps://www.oracle.com/security-alerts/cpujul2015.html
Проверьте безопасность своего сайта и почты → Полная проверка домена