5.8высокая
BDU:2022-06000 (CVE-2013-4310)
Уязвимость реализации механизма сопоставления действий DefaultActionMapper программной платформы Apache Struts, позволяющая нарушителю обойти ограничения безопасности
Опубликовано: 2022-09-30
Описание
Уязвимость реализации механизма сопоставления действий DefaultActionMapper программной платформы Apache Struts связана с недостатками разграничения доступа при обработке параметра action: prefix. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности
Затрагиваемое ПО и версии
WebCenter Sites (11.1.1.8.0)Oracle FLEXCUBE Private Banking (2.2.0.1)Oracle FLEXCUBE Private Banking (12.0.1.0)WebCenter Sites (11.1.1.6.1)Oracle FLEXCUBE Private Banking (1.7)Oracle FLEXCUBE Private Banking (2.0)Oracle FLEXCUBE Private Banking (2.0.1)Oracle FLEXCUBE Private Banking (3.0)Oracle FLEXCUBE Private Banking (12.0.2)MySQL Enterprise Monitor (до 2.3.14 включительно)MySQL Enterprise Monitor (от 3.0.0 до 3.0.4 включительно)IBM Call Center for Commerce (9.5.0)IBM Call Center for Commerce (10.0)Struts (от 2.0.0 до 2.3.15.1 включительно)
Способ устранения
Использование рекомндаций:
Для Apache Struts:
https://cwiki.apache.org/confluence/display/WW/S2-018
Для программных продуктов IBM Corp.:
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-call-center-and-apache-struts-struts-upgrade-strategy-various-cves-see-below/
Для программных продуктов Oracle:
https://www.oracle.com/security-alerts/cpujan2014.html
Оценка CVSS
| Балл | 5.8 — высокая опасность |
Источники и патчи