Каталог уязвимостей Сканер-ВС

Вернуться к списку

BDU:2022-06318

Оценки

EPSS

0.000нет0.0%
0%20%40%60%80%100%

Процентиль: 0.0%

CVSS

4.7средний3.x
0246810

Оценка CVSS: 4.7/10

Все оценки CVSS

CVSS 3.x
4.7

Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N

CVSS 2.0
5.0

Вектор: AV:N/AC:L/Au:N/C:N/I:P/A:N

Описание

Уязвимость реализации класса ParametersInterceptor программной платформы Apache Struts связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность защищаемой информации с помощью параметра класса, который передается методу getClass

Сканер-ВС 7 — современное решение для управления уязвимостями

Использует эту базу данных для обнаружения уязвимостей. Высокая скорость поиска, кроссплатформенность, продвинутый аудит конфигурации и гибкая фильтрация. Подходит для организаций любого масштаба.
Подробнее о Сканер-ВС 7

Источники

bdu

Связанные уязвимости

CVE-2014-0094

Эксплойты

ID эксплойта: 33142

Источник: exploitdb

URL: https://www.exploit-db.com/exploits/33142

ID эксплойта: 41690

Источник: exploitdb

URL: https://www.exploit-db.com/exploits/41690

ID эксплойта: CVE-2014-0094

Источник: github-poc

URL: https://github.com/y0d3n/CVE-2014-0094

Справочные ссылки

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0094
http://www.vmware.com/security/advisories/VMSA-2014-0007.2.html
http://jvn.jp/en/jp/JVN19294237/index.html
https://jvndb.jvn.jp/en/contents/2014/JVNDB-2014-000045.html
https://packetstormsecurity.com/files/127215/VMware-Security-Advisory-2014-0007.html
http://www.securityfocus.com/archive/1/531362/100/0/threaded
http://www.securityfocus.com/archive/1/532549/100/0/threaded
http://www.securityfocus.com/bid/65999
http://www.securitytracker.com/id/1029876
https://cwiki.apache.org/confluence/display/WW/S2-020
https://www.oracle.com/security-alerts/cpuapr2015.html
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-call-center-and-apache-struts-struts-upgrade-strategy-various-cves-see-below/
https://www.ibm.com/support/pages/security-bulletin-security-bypass-vulnerability-san-volume-controller-and-storwize-family-cve-2014-0094-0
https://www.ibm.com/support/pages/security-bulletin-ibm-sterling-order-management-ibm-sterling-configure-price-quote-and-sterling-web-channel-are-affected-apache-struts-2-security-vulnerabilities
https://www.vmware.com/security/advisories/VMSA-2014-0007.html

Рекомендации

Источник: bdu

Использование рекомендаций:
Для Apache Struts:
https://cwiki.apache.org/confluence/display/WW/S2-020

Компенсирующие меры:
добавить '^ class.' в список excludeParams:
<interceptor-ref name=“params”>
<param name=“excludeParams”>^class..,^dojo..,^struts..,^session..,^request..,^application..,^servlet(Request|Response)..,^parameters..,^action:.,^method:.*</param>
</interceptor-ref>

Для программных продуктов Oracle:
https://www.oracle.com/security-alerts/cpuapr2015.html

Для программных продуктов IBM Corp.:
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-call-center-and-apache-struts-struts-upgrade-strategy-various-cves-see-below/
https://www.ibm.com/support/pages/security-bulletin-security-bypass-vulnerability-san-volume-controller-and-storwize-family-cve-2014-0094-0
https://www.ibm.com/support/pages/security-bulletin-ibm-sterling-order-management-ibm-sterling-configure-price-quote-and-sterling-web-channel-are-affected-apache-struts-2-security-vulnerabilities

Для программных продуктов VMware:
https://www.vmware.com/security/advisories/VMSA-2014-0007.html

URL: https://bdu.fstec.ru/vul/2022-06318

Уязвимое ПО (27)

Тип: Конфигурация

Поставщик: apache software foundation

Продукт: struts

Операционная система: * *

Характеристика: 
{  "version_end_excluding": "2.3.16.2",  "version_start_including": "2.0.0"}

Источник: bdu

Тип: Конфигурация

Поставщик: broadcom inc.

Продукт: vmware aria automation orchestrator

Операционная система: * *

Характеристика: 
{  "version_end_excluding": "5.5.2",  "version_start_including": "5.5"}

Источник: bdu

Тип: Конфигурация

Поставщик: broadcom inc.

Продукт: vmware aria automation orchestrator

Операционная система: * *

Характеристика: 
{  "version_exact": "5.1"}

Источник: bdu

Тип: Конфигурация

Поставщик: broadcom inc.

Продукт: vmware aria automation orchestrator

Операционная система: * *

Характеристика: 
{  "version_exact": "4.2"}

Источник: bdu

Тип: Конфигурация

Поставщик: broadcom inc.

Продукт: vmware aria operations

Операционная система: * *

Характеристика: 
{  "version_end_excluding": "5.8.2",  "version_start_including": "5.8.0"}

Источник: bdu

Тип: Конфигурация

Поставщик: broadcom inc.

Продукт: vmware aria operations

Операционная система: * *

Характеристика: 
{  "version_end_excluding": "5.7.3",  "version_start_including": "5.7.0"}

Источник: bdu

Тип: Конфигурация

Поставщик: ibm corp.

Продукт: ibm call center for commerce

Операционная система: * *

Характеристика: 
{  "version_exact": "9.5.0"}

Источник: bdu

Тип: Конфигурация

Поставщик: ibm corp.

Продукт: ibm call center for commerce

Операционная система: * *

Характеристика: 
{  "version_exact": "10.0"}

Источник: bdu

Тип: Конфигурация

Поставщик: ibm corp.

Продукт: ibm sterling field sales

Операционная система: * *

Характеристика: 
{  "version_exact": "9.0"}

Источник: bdu

Тип: Конфигурация

Поставщик: ibm corp.

Продукт: ibm sterling field sales

Операционная система: * *

Характеристика: 
{  "version_exact": "9.1.0"}

Источник: bdu

Тип: Конфигурация

Поставщик: ibm corp.

Продукт: ibm sterling field sales

Операционная система: * *

Характеристика: 
{  "version_exact": "9.2.0"}

Источник: bdu

Тип: Конфигурация

Поставщик: ibm corp.

Продукт: ibm sterling field sales

Операционная система: * *

Характеристика: 
{  "version_exact": "9.2.1"}

Источник: bdu

Тип: Конфигурация

Поставщик: ibm corp.

Продукт: ibm sterling field sales

Операционная система: * *

Характеристика: 
{  "version_exact": "9.3.0"}

Источник: bdu

Тип: Конфигурация

Поставщик: ibm corp.

Продукт: ibm sterling order management

Операционная система: * *

Характеристика: 
{  "version_exact": "8.5"}

Источник: bdu

Тип: Конфигурация

Поставщик: ibm corp.

Продукт: ibm sterling selling and fulfillment foundation

Операционная система: * *

Характеристика: 
{  "version_exact": "9.0"}

Источник: bdu

Тип: Конфигурация

Поставщик: ibm corp.

Продукт: ibm sterling selling and fulfillment foundation

Операционная система: * *

Характеристика: 
{  "version_exact": "9.1.0"}

Источник: bdu

Тип: Конфигурация

Поставщик: ibm corp.

Продукт: ibm sterling selling and fulfillment foundation

Операционная система: * *

Характеристика: 
{  "version_exact": "9.2.0"}

Источник: bdu

Тип: Конфигурация

Поставщик: ibm corp.

Продукт: ibm sterling selling and fulfillment foundation

Операционная система: * *

Характеристика: 
{  "version_exact": "9.2.1"}

Источник: bdu

Тип: Конфигурация

Поставщик: ibm corp.

Продукт: ibm sterling selling and fulfillment foundation

Операционная система: * *

Характеристика: 
{  "version_exact": "9.3.0"}

Источник: bdu

Тип: Конфигурация

Поставщик: ibm corp.

Продукт: ibm sterling web channel

Операционная система: * *

Характеристика: 
{  "version_exact": "9.1"}

Источник: bdu