ГлавнаяБаза уязвимостей БДУ → BDU:2022-06074
5средняя

BDU:2022-06074 (CVE-2010-1870)

Уязвимость реализации класса преобразования выражений OGNL (Object-Graph Navigation Language) структуры шаблонов команд XWork программной платформы Apache Struts, позволяющая нарушителю обойти ограничения безопасности и выполнить произвольные команды
Опубликовано: 2022-10-04
Описание

Уязвимость реализации класса преобразования выражений OGNL (Object-Graph Navigation Language) структуры шаблонов команд XWork программной платформы Apache Struts связана с недостатками разграничения доступа при использовании класса ParametersInterceptor с параметром #. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности и выполнить произвольные команды с помощью специально созданных объектов #context, #_memberAccess, #root, #this, #_typeResolver, #_classResolver, #_traceEvaluations, #_lastEvaluation, #_keepLastEvaluation

Затрагиваемое ПО и версии
IBM Call Center for Commerce (9.5.0)IBM Call Center for Commerce (10.0)Struts (от 2.0.0 до 2.1.8.1 включительно)Fisheye (до 2.3.2 включительно)Crucible (до 2.3.2 включительно)Cisco Identity Services Engine (до 1.0.4.573-6)Cisco Identity Services Engine (от 1.1.0.665 до 1.1.0.665-4)Cisco Identity Services Engine (от 1.1.1.268 до 1.1.1.268-6)Cisco Identity Services Engine (от 1.1.2.145 до 1.1.2.145-9)Cisco Identity Services Engine (от 1.1.3.124 до 1.1.3.124-4)Cisco Identity Services Engine (от 1.1.4.218 до 1.1.4.218-4)Cisco Identity Services Engine (от 1.2.0.0 до 1.2.0.899)Cisco Unified Contact Center Enterprise (от 10.5 до 10.5(1))Cisco Unified Contact Center Enterprise (от 8.5(4) до 8.5(4)ES37)Cisco Unified Contact Center Enterprise (от 9.0(4) до 9.0(4)ES39)Cisco Unified Contact Center Enterprise (от 9.0(3) до 9.0(3)ES13)Cisco Media Experience Engine (MXE) 3500 Series (до 3.3.2)
Способ устранения

Использование рекомендаций:
Для Apache Struts:
https://cwiki.apache.org/confluence/display/WW/S2-005

Для программных продуктов Atlassian:
https://confluence.atlassian.com/fisheye/fisheye-security-advisory-2010-06-16-960161732.html

Для программных продуктов IBM:
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-call-center-and-apache-struts-struts-upgrade-strategy-various-cves-see-below/

Для программных продуктов Cisco:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140709-struts2

Компенсирующие меры:
Следующая дополнительная конфигурация interceptor-ref поможет исключить вредоносные параметры:

<interceptor-ref name="params">
<param name="excludeParams">dojo\..*,^struts\..*,.*\\.*,.*\(.*,.*\).*,.*@.*</param>
</interceptor-ref>

Оценка CVSS
Балл5 — средняя опасность
Источники и патчи
https://confluence.atlassian.com/fisheye/fisheye-security-advisory-2010-06-16-960161732.htmlhttps://www.ibm.com/blogs/psirt/security-bulletin-ibm-call-center-and-apache-struts-struts-upgrade-strategy-various-cves-see-below/https://nvd.nist.gov/vuln/detail/CVE-2010-1870https://cwiki.apache.org/confluence/display/WW/S2-005https://seclists.org/fulldisclosure/2010/Jul/183http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140709-struts2
Проверьте безопасность своего сайта и почты → Полная проверка домена