ГлавнаяБаза уязвимостей БДУ → BDU:2022-06076
10критическая

BDU:2022-06076 (CVE-2016-4436)

Уязвимость реализации метода очистки имени действия программной платформы Apache Struts, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-10-04
Описание

Уязвимость реализации метода очистки имени действия программной платформы Apache Struts связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Затрагиваемое ПО и версии
Struts (от 2.5.0 до 2.5.1)IBM Call Center for Commerce (9.5.0)IBM Call Center for Commerce (10.0)Struts (от 2.0.0 до 2.3.29)IBM SAN Volume Controller (от 1.1 до 7.7 включительно)IBM Storwize V3500 (от 1.1 до 7.7 включительно)IBM Storwize V3700 (от 1.1 до 7.7 включительно)IBM Storwize V5000 (от 1.1 до 7.7 включительно)IBM Storwize V7000 (от 1.1 до 7.7 включительно)IBM FlashSystem V9000 (от 1.1 до 7.7 включительно)
Способ устранения

Использование рекомендаций:
Для Apache Struts:
https://cwiki.apache.org/confluence/display/WW/S2-035

Для программных продуктов IBM Corp.:
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-call-center-and-apache-struts-struts-upgrade-strategy-various-cves-see-below/
https://www.ibm.com/support/pages/security-bulletin-multiple-vulnerabilities-apache-struts-affect-san-volume-controller-storwize-family-and-flashsystem-v9000-products

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-call-center-and-apache-struts-struts-upgrade-strategy-various-cves-see-below/https://www.ibm.com/support/pages/security-bulletin-multiple-vulnerabilities-apache-struts-affect-san-volume-controller-storwize-family-and-flashsystem-v9000-productshttps://cwiki.apache.org/confluence/display/WW/S2-035https://nvd.nist.gov/vuln/detail/CVE-2016-4436?cpeVersion=2.2
Проверьте безопасность своего сайта и почты → Полная проверка домена