Apache Struts 2 ClassLoader 操控對安全性繞過的不完整修正
high Nessus Plugin ID 73763
語系:
概要
遠端 Web 伺服器包含一個使用受到繞過安全性弱點影響的 Java 架構的 Web 應用程式。說明
遠端 Web 應用程式似乎使用 Struts 2 (使用 OGNL (Object-Graph Navigation Language) 的 Web 架構) 做為運算式語言。使用中的 Struts 2 版本受到一個安全性繞過弱點影響,這可能是因為 2.3.16.1 版實作之 ClassLoader 操控的不完整修正所導致。請注意,此外掛程式將只報告 Struts 2 應用程式的第一個有弱點的執行個體。
解決方案
升級至 2.3.16.2 版或更新版本。另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 73763
檔案名稱: struts_2_3_16_2_dos.nasl
版本: 1.16
類型: remote
已發布: 2014/4/29
已更新: 2024/5/28
組態: 啟用徹底檢查
支援的感應器: Nessus
風險資訊
VPR
風險因素: High
分數: 7.4
CVSS v2
風險因素: High
基本分數: 7.5
時間分數: 6.2
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 評分資料來源: CVE-2014-0113
弱點資訊
CPE: cpe:/a:apache:struts
排除在外的 KB 項目: Settings/disable_cgi_scanning
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2014/4/24
弱點發布日期: 2014/4/24
可惡意利用
Metasploit (Apache Struts ClassLoader Manipulation Remote Code Execution)
參考資訊
CVE: CVE-2014-0112, CVE-2014-0113
CERT: 719225