CH azonosító
CH-9244Angol cím
Apache Struts "ParameterInterceptor" Security Bypass VulnerabilityFelfedezés dátuma
2013.05.21.Súlyosság
MagasÖsszefoglaló
Az Apache Struts egy sérülékenységét jelentették, amit kihasználva a támadók megkerülhetnek egyes biztonsági szabályokat.
Leírás
A sérülékenységet a “ParameterInterceptor” osztály egy hibája okozza, amelyet kihasználva módosítani lehet a szerver oldali objektumokat, és például tetszőleges parancsokat lehet végrehajtani speciálisan összeállított OGNL (Object-Graph Navigation Language) kifejezések segítségével.
A sérülékenységet a 2.3.14.1 előtti verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: struts.apache.org
Gyártói referencia: struts.apache.org
CVE-2013-1965 - NVD CVE-2013-1965
CVE-2013-1966 - NVD CVE-2013-1966
SECUNIA 53495
