ГлавнаяБаза уязвимостей БДУ → BDU:2022-06073
10критическая

BDU:2022-06073 (CVE-2013-4316)

Уязвимость реализации механизма Dynamic Method Invocation (DMI) программной платформы Apache Struts, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-10-04
Описание

Уязвимость реализации механизма Dynamic Method Invocation (DMI) программной платформы Apache Struts связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Затрагиваемое ПО и версии
WebCenter Sites (11.1.1.8.0)Oracle FLEXCUBE Private Banking (2.2.0.1)Oracle FLEXCUBE Private Banking (12.0.1.0)WebCenter Sites (11.1.1.6.1)Oracle FLEXCUBE Private Banking (1.7)Oracle FLEXCUBE Private Banking (2.0)Oracle FLEXCUBE Private Banking (2.0.1)Oracle FLEXCUBE Private Banking (3.0)Oracle FLEXCUBE Private Banking (12.0.2)MySQL Enterprise Monitor (до 2.3.14 включительно)MySQL Enterprise Monitor (от 3.0.0 до 3.0.4 включительно)IBM Call Center for Commerce (9.5.0)IBM Call Center for Commerce (10.0)Struts (от 2.0.0 до 2.3.15.1 включительно)
Способ устранения

Использование рекомендаций:
Для Apache Struts:
https://cwiki.apache.org/confluence/display/WW/S2-019

Для программных продуктов IBM:
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-call-center-and-apache-struts-struts-upgrade-strategy-various-cves-see-below/

Для программных продуктов Oracle:
https://www.oracle.com/security-alerts/cpujan2014.html

Компенсирующие меры:
Следует отключить механизм Dynamic Method Invocation (DMI):
<constant name="struts.enable.DynamicMethodInvocation" value="false"/>

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-call-center-and-apache-struts-struts-upgrade-strategy-various-cves-see-below/https://cwiki.apache.org/confluence/display/WW/S2-019https://www.oracle.com/security-alerts/cpujan2014.htmlhttps://nvd.nist.gov/vuln/detail/CVE-2013-4316
Проверьте безопасность своего сайта и почты → Полная проверка домена