Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
Apache Struts
(2.0.0, 2.3.4.1)
Описание
Уязвимость существует в механизме проверки токена в Apache Struts из-за некорректной проверки параметра настройки имени токена. Эксплуатация данной уязвимости позволяет злоумышленникам, действующим удаленно, осуществить межсайтовую подмену запросов, установив параметр настройки имени токена атрибуту сессии.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://struts.apache.org/
http://struts.apache.org/
Ссылки
Источник: CVE
Наименование: CVE-2012-4386
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4386
http://struts.apache.org/2.x/docs/s2-010.html
BID (55346): http://www.securityfocus.com/bid/55346
XF (apache-struts-csrf(78182)): http://xforce.iss.net/xforce/xfdb/7818
Наименование: CVE-2012-4386
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4386
http://struts.apache.org/2.x/docs/s2-010.html
BID (55346): http://www.securityfocus.com/bid/55346
XF (apache-struts-csrf(78182)): http://xforce.iss.net/xforce/xfdb/7818