偵測

MySQL Enterprise Monitor < 2.3.14 Apache Struts 多個弱點

critical Nessus Plugin ID 83292

語系:

概要

遠端主機上執行的 Web 應用程式受到多個弱點影響。

說明

根據其自我報告的版本,遠端主機上執行的 MySQL Enterprise Monitor 受到隨附的 Apache Struts 版本中多個弱點影響:

- 存在多個輸入驗證錯誤,允許透過 DefaultActionMapper 的特製參數,執行任意 Object-Graph Navigation Language (OGNL) 運算式。(CVE-2013-2251)

- 存在多個與預設啟用的動態方法叫用相關的不明弱點。
 (CVE-2013-4316)

解決方案

升級至 MySQL Enterprise Monitor 2.3.14 或更新版本。

另請參閱

http://www.nessus.org/u?17c46362

http://www.nessus.org/u?ac29c174

https://struts.apache.org/docs/s2-016.html

https://struts.apache.org/docs/s2-019.html

Plugin 詳細資訊

嚴重性: Critical

ID: 83292

檔案名稱: mysql_enterprise_monitor_2_3_14.nasl

版本: 1.11

類型: remote

系列: CGI abuses

已發布: 2015/5/8

已更新: 2023/4/25

支援的感應器: Nessus

風險資訊

VPR

風險因素: High

分數: 8.1

CVSS v2

風險因素: Critical

基本分數: 10

時間分數: 8.3

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2013-4316

弱點資訊

CPE: cpe:/a:mysql:enterprise_monitor, cpe:/a:apache:struts

必要的 KB 項目: installed_sw/MySQL Enterprise Monitor

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2013/9/9

弱點發布日期: 2013/7/16

CISA 已知遭惡意利用弱點到期日: 2022/4/15

可惡意利用

CANVAS (CANVAS)

Core Impact

Metasploit (Apache Struts 2 DefaultActionMapper Prefixes OGNL Code Execution)

Elliot (Apache-Struts DefaultActionMapper < 2.3.15.1 RCE Linux)

參考資訊

CVE: CVE-2013-2251, CVE-2013-4316

BID: 61189, 62587