BDU:2022-05999

BDU

КритическийПодтвержденаЭксплойт есть

Уязвимость реализации механизма сопоставления действий DefaultActionMapper программной платформы Apache Struts связана с недостаточной очис…

CVSS

10.0

Критический

EPSS

0.00

Опубликовано

2022-01-01

Обновлено

2022-01-01

Описание

Уязвимость реализации механизма сопоставления действий DefaultActionMapper программной платформы Apache Struts связана с недостаточной очисткой входных данных при обработке параметров action:, redirect: и redirectAction: prefix. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Теги · CWE

Без аутентификации

Затронутые продукты

Apache software foundation StrutsCisco systems inc. Cisco identity services engineCisco systems inc. Cisco identity services engineCisco systems inc. Cisco identity services engineCisco systems inc. Cisco identity services engineCisco systems inc. Cisco identity services engineCisco systems inc. Cisco identity services engineCisco systems inc. Cisco identity services engineCisco systems inc. Cisco media experience engine (mxe) 3500 seriesCisco systems inc. Cisco packaged contact center enterpriseCisco systems inc. Cisco packaged contact center enterpriseCisco systems inc. Cisco packaged contact center enterpriseCisco systems inc. Cisco packaged contact center enterpriseCisco systems inc. Cisco packaged contact center enterpriseCisco systems inc. Cisco unified contact center enterpriseCisco systems inc. Cisco unified contact center enterpriseCisco systems inc. Cisco unified contact center enterpriseCisco systems inc. Cisco unified contact center enterpriseCisco systems inc. Cisco unified contact center enterpriseCisco systems inc. Cisco unified sip proxy software

Вектор CVSS

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

Хронология

2022-01-01

Опубликована

2022-01-01

Обновлена

Разбор CVSS 3.1

Вектор атаки

AV: N

Сеть (N)

Сложность атаки

AC: L

Низкая (L)

Требуемые привилегии

PR: N

Отсутствуют (N)

Взаимодействие с пользователем

UI: N

Отсутствует (N)

Область воздействия

S: C

Изменена (C)

Воздействие на конфиденциальность

C: H

Высокое (H)

Воздействие на целостность

I: H

Высокое (H)

Воздействие на доступность

A: H

Высокое (H)

Индикаторы эксплуатации

EPSS

0.000 · p0

Известна эксплуатация (KEV)

Нет

Проверки Сканер-ВС

27135

exploitdb · https://www.exploit-db.com/exploits/27135

Enterprise

44583

exploitdb · https://www.exploit-db.com/exploits/44583

Enterprise

CVE-2013-2251

github-poc · https://github.com/nth347/CVE-2013-2251

Enterprise

Уязвимое ПО

Продукт	Вендор	Статус
struts	apache software foundation	Отслеживается
cisco identity services engine	cisco systems inc.	Отслеживается
cisco identity services engine	cisco systems inc.	Отслеживается
cisco identity services engine	cisco systems inc.	Отслеживается
cisco identity services engine	cisco systems inc.	Отслеживается
cisco identity services engine	cisco systems inc.	Отслеживается
cisco identity services engine	cisco systems inc.	Отслеживается
cisco identity services engine	cisco systems inc.	Отслеживается
cisco media experience engine (mxe) 3500 series	cisco systems inc.	Отслеживается
cisco packaged contact center enterprise	cisco systems inc.	Отслеживается
cisco packaged contact center enterprise	cisco systems inc.	Отслеживается
cisco packaged contact center enterprise	cisco systems inc.	Отслеживается
cisco packaged contact center enterprise	cisco systems inc.	Отслеживается
cisco packaged contact center enterprise	cisco systems inc.	Отслеживается
cisco unified contact center enterprise	cisco systems inc.	Отслеживается
cisco unified contact center enterprise	cisco systems inc.	Отслеживается
cisco unified contact center enterprise	cisco systems inc.	Отслеживается
cisco unified contact center enterprise	cisco systems inc.	Отслеживается
cisco unified contact center enterprise	cisco systems inc.	Отслеживается
cisco unified sip proxy software	cisco systems inc.	Отслеживается

Источники данных

BDU

Связанные уязвимости

CVE-2013-2251

Внешние ссылки

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-2251@https://www.ibm.com/blogs/psirt/security-bulletin-ibm-call-center-and-apache-struts-struts-upgrade-strategy-various-cves-see-below/@https://exchange.xforce.ibmcloud.com/vulnerabilities/90392@https://seclists.org/fulldisclosure/2013/Oct/96@http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20131023-struts2@https://cwiki.apache.org/confluence/display/WW/S2-016@https://www.fujitsu.com/global/support/products/software/security/products-f/interstage-bpm-analytics-201301e.html@https://www.oracle.com/security-alerts/cpujan2014.html@https://www.oracle.com/security-alerts/cpujul2015.html@https://nvd.nist.gov/vuln/detail/CVE-2013-2251@https://www.cisa.gov/sites/default/files/csv/known_exploited_vulnerabilities.csv