ГлавнаяБаза уязвимостей БДУ → BDU:2022-06340
4.3средняя

BDU:2022-06340 (CVE-2012-1006)

Уязвимость реализации сценариев editPerson.action и struts2-rest-showcase/orders программной платформы Apache Struts, позволяющая нарушителю провести атаку межсайтового скриптинга (XSS)
Опубликовано: 2022-10-20
Описание

Уязвимость реализации сценариев editPerson.action и struts2-rest-showcase/orders программной платформы Apache Struts существует из-за непринятия мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, провести атаку межсайтового скриптинга (XSS), используя параметр name, lastName или clientNape в специально созданном URL-адресе

Затрагиваемое ПО и версии
IBM Call Center for Commerce (9.5.0)IBM Call Center for Commerce (10.0)Struts (2.0.14)Struts (2.2.3)IBM Sterling Order Management (9.5)IBM Sterling Order Management (10.0)
Способ устранения

Использование рекомендаций:

Для Apache Struts:
https://exchange.xforce.ibmcloud.com/vulnerabilities/72888

Для IBM Call Center for Commerce:
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-call-center-and-apache-struts-struts-upgrade-strategy-various-cves-see-below/
https://exchange.xforce.ibmcloud.com/vulnerabilities/72888

Оценка CVSS
Балл4.3 — средняя опасность
Источники и патчи
http://secpod.org/advisories/SecPod_Apache_Struts_Multiple_Parsistant_XSS_Vulns.txthttp://secpod.org/blog/?p=450http://www.securityfocus.com/bid/51902https://exchange.xforce.ibmcloud.com/vulnerabilities/72888https://www.ibm.com/blogs/psirt/security-bulletin-ibm-call-center-and-apache-struts-struts-upgrade-strategy-various-cves-see-below/https://access.redhat.com/security/cve/cve-2012-1006
Проверьте безопасность своего сайта и почты → Полная проверка домена