9.3критическая
BDU:2022-05999 (CVE-2013-2251)
Уязвимость реализации механизма сопоставления действий DefaultActionMapper программной платформы Apache Struts, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-09-30
Описание
Уязвимость реализации механизма сопоставления действий DefaultActionMapper программной платформы Apache Struts связана с недостаточной очисткой входных данных при обработке параметров action:, redirect: и redirectAction: prefix. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Затрагиваемое ПО и версии
WebCenter Sites (11.1.1.8.0)Oracle FLEXCUBE Private Banking (2.2.0.1)Oracle FLEXCUBE Private Banking (12.0.1.0)WebCenter Sites (11.1.1.6.1)Oracle FLEXCUBE Private Banking (1.7)Oracle FLEXCUBE Private Banking (2.0)Oracle FLEXCUBE Private Banking (2.0.1)Oracle FLEXCUBE Private Banking (3.0)Oracle FLEXCUBE Private Banking (12.0.2)MySQL Enterprise Monitor (до 2.3.14 включительно)MySQL Enterprise Monitor (от 3.0.0 до 3.0.4 включительно)IBM Call Center for Commerce (9.5.0)IBM Call Center for Commerce (10.0)Cisco Identity Services Engine (до 1.0.4.573-6)Cisco Identity Services Engine (от 1.1.0.665 до 1.1.0.665-4)Cisco Identity Services Engine (от 1.1.1.268 до 1.1.1.268-6)Cisco Identity Services Engine (от 1.1.2.145 до 1.1.2.145-9)Cisco Identity Services Engine (от 1.1.3.124 до 1.1.3.124-4)Cisco Identity Services Engine (от 1.1.4.218 до 1.1.4.218-4)Cisco Identity Services Engine (от 1.2.0.0 до 1.2.0.899)Cisco Unified Contact Center Enterprise (от 10.5 до 10.5(1))Cisco Unified Contact Center Enterprise (от 8.5(4) до 8.5(4)ES37)Cisco Unified Contact Center Enterprise (от 9.0(4) до 9.0(4)ES39)Cisco Unified Contact Center Enterprise (от 9.0(3) до 9.0(3)ES13)Cisco Media Experience Engine (MXE) 3500 Series (до 3.3.2)Struts (от 2.0.0 до 2.3.15 включительно)Interstage Business Process Manager Analytics (12.0)Interstage Business Process Manager Analytics (12.1)Siebel Apps - E-Billing (6.1)Siebel Apps - E-Billing (6.1.1)
Способ устранения
Использование рекомендаций:
Для Apache Struts:
https://cwiki.apache.org/confluence/display/WW/S2-016
Для программных продуктов IBM:
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-call-center-and-apache-struts-struts-upgrade-strategy-various-cves-see-below/
Для программных продуктов Cisco:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20131023-struts2
Для программных продуктов Fujitsu:
https://www.fujitsu.com/global/support/products/software/security/products-f/interstage-bpm-analytics-201301e.html
Для программных продуктов Oracle:
https://www.oracle.com/security-alerts/cpujan2014.html
https://www.oracle.com/security-alerts/cpujul2015.html
Оценка CVSS
| Балл | 9.3 — критическая опасность |
Источники и патчи