ГлавнаяБаза уязвимостей БДУ → BDU:2022-06318
5средняя

BDU:2022-06318 (CVE-2014-0094)

Уязвимость реализации класса ParametersInterceptor программной платформы Apache Struts, позволяющая нарушителю оказать воздействие на целостность защищаемой информации
Опубликовано: 2022-10-18
Описание

Уязвимость реализации класса ParametersInterceptor программной платформы Apache Struts связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность защищаемой информации с помощью параметра класса, который передается методу getClass

Затрагиваемое ПО и версии
Struts (от 2.0.0 до 2.3.16.2)IBM Sterling Order Management (8.5)IBM Sterling Selling and Fulfillment Foundation (9.0)IBM Sterling Selling and Fulfillment Foundation (9.1.0)IBM Sterling Selling and Fulfillment Foundation (9.2.0)IBM Sterling Selling and Fulfillment Foundation (9.2.1)IBM Sterling Selling and Fulfillment Foundation (9.3.0)IBM Sterling Field Sales (9.0)IBM Sterling Field Sales (9.1.0)IBM Sterling Field Sales (9.2.0)IBM Sterling Field Sales (9.2.1)IBM Sterling Field Sales (9.3.0)IBM Sterling Web Channel (9.0)IBM Sterling Web Channel (9.1)VMware Aria Operations (от 5.8.0 до 5.8.2)VMware Aria Operations (от 5.7.0 до 5.7.3)MySQL Enterprise Monitor (до 2.3.16 включительно)IBM Call Center for Commerce (9.5.0)IBM Call Center for Commerce (10.0)MySQL Enterprise Monitor (до 3.0.10 включительно)IBM Storwize V7000 (до 7.2.0.8)IBM Storwize V5000 (до 7.2.0.8)IBM Storwize V3700 (до 7.2.0.8)IBM Storwize V3500 (до 7.2.0.8)VMware Aria Automation Orchestrator (от 5.5 до 5.5.2)VMware Aria Automation Orchestrator (5.1)VMware Aria Automation Orchestrator (4.2)
Способ устранения

Использование рекомендаций:
Для Apache Struts:
https://cwiki.apache.org/confluence/display/WW/S2-020

Компенсирующие меры:
добавить '^ class\.*' в список excludeParams:
<interceptor-ref name="params">
<param name="excludeParams">^class\..*,^dojo\..*,^struts\..*,^session\..*,^request\..*,^application\..*,^servlet(Request|Response)\..*,^parameters\..*,^action:.*,^method:.*</param>
</interceptor-ref>

Для программных продуктов Oracle:
https://www.oracle.com/security-alerts/cpuapr2015.html

Для программных продуктов IBM Corp.:
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-call-center-and-apache-struts-struts-upgrade-strategy-various-cves-see-below/
https://www.ibm.com/support/pages/security-bulletin-security-bypass-vulnerability-san-volume-controller-and-storwize-family-cve-2014-0094-0
https://www.ibm.com/support/pages/security-bulletin-ibm-sterling-order-management-ibm-sterling-configure-price-quote-and-sterling-web-channel-are-affected-apache-struts-2-security-vulnerabilities

Для программных продуктов VMware:
https://www.vmware.com/security/advisories/VMSA-2014-0007.html

Оценка CVSS
Балл5 — средняя опасность
Источники и патчи
http://jvn.jp/en/jp/JVN19294237/index.htmlhttps://jvndb.jvn.jp/en/contents/2014/JVNDB-2014-000045.htmlhttps://packetstormsecurity.com/files/127215/VMware-Security-Advisory-2014-0007.htmlhttp://www.securityfocus.com/archive/1/531362/100/0/threadedhttp://www.securityfocus.com/archive/1/532549/100/0/threadedhttp://www.securityfocus.com/bid/65999http://www.securitytracker.com/id/1029876https://cwiki.apache.org/confluence/display/WW/S2-020
Проверьте безопасность своего сайта и почты → Полная проверка домена