• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Выполнение произвольного кода

Главная Специалистам База уязвимостей Выполнение произвольного кода

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
Apache Struts (2.0.0, 2.5.28.1)
Описание
Функционал JNDI, используемый в конфигурации, сообщениях журнала и параметрах, в Apache Log4j2 не обеспечивает защиту от контролируемых злоумышленником конечных точек LDAP и конечных точек, связанных с JNDI. Злоумышленник, имеющий возможность контролировать сообщения журнала или параметры сообщений журнала, может выполнить произвольный код, загруженный с LDAP-сервера, если включена подстановка при поиске сообщений. Начиная с log4j 2.15.0, данная опция была отключена по умолчанию. Начиная с версии 2.16.0, данный функционал был полностью исключен. Данная уязвимость относится только к log4j-core и отсутствует в log4net, log4cxx или других проектах Apache Logging Services.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
https://struts.apache.org/