CH azonosító
CH-6293Angol cím
Apache Struts "ParameterInterceptor" Security Bypass VulnerabilityFelfedezés dátuma
2012.01.22.Súlyosság
MagasÖsszefoglaló
Az Apache Struts egy sérülékenységét jelentették, amelyet kihasználva a támadók megkerülhetnek egyes biztonsági előírásokat.
Leírás
A sérülékenységet a „ParameterInterceptor” osztály egy hibája okozza, amelyet kihasználva manipulálni lehet a szerver oldali objektumokat, és pl. tetszőleges parancsot lehet lefuttatni speciálisan elkészített OGNL (Object-Graph Navigation Language) kifejezések segítégével.
A sérülékenységet a 2.3.1.2 előtti verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: struts.apache.org
Egyéb referencia: blog.o0o.nu
SECUNIA 47711
SECUNIA 32495
CVE-2011-3923 - NVD CVE-2011-3923
