Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
Apache Struts
(2.0.0, 2.3.16.2)
Описание
Уязвимость в Apache Struts позволяет злоумышленнику получить доступ к параметру "class", который напрямую связан с методом "getClass()" через CookieInterceptor. Эксплуатация данной уязвимости позволяет управлять ClassLoader, используемым сервером приложений. Для успешной эксплуатации данной уязвимости приложение должно быть настроено на прием всех cookie.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://struts.apache.org
http://struts.apache.org
Ссылки
Источник: CVE
Наименование: CVE-2014-0113
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0113
Apache Struts S2-021:
http://struts.apache.org/development/2.x/docs/s2-021.html
Наименование: CVE-2014-0113
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0113
Apache Struts S2-021:
http://struts.apache.org/development/2.x/docs/s2-021.html