CVE-2012-0391
CVE-2012-0391
Em resumo
O Apache Struts interpreta incorretamente entradas do usuário como código durante tratamento de erros, permitindo que atacantes executem comandos Java arbitrários no servidor. Trata-se de uma vulnerabilidade crítica que pode comprometer completamente o sistema afetado.
Detalhe técnico
O componente ExceptionDelegator do Apache Struts anterior à versão 2.2.3.1 avalia valores de parâmetros como expressões OGNL durante tratamento de exceções provocadas por incompatibilidade de tipos, permitindo execução remota de código sem autenticação. Um atacante pode craftar parâmetros que exploram essa avaliação de linguagem de expressão para executar código Java arbitrário com privilégios do servidor.
Resumo gerado e traduzido por IA a partir da descrição oficial.
The ExceptionDelegator component in Apache Struts before 2.2.3.1 interprets parameter values as OGNL expressions during certain exception handling for mismatched data types of properties, which allows remote attackers to execute arbitrary Java code via a crafted parameter.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · n/aPoCs públicas encontradas — 3
cve_referencewww.exploit-db.com/exploits/18329não verificadoexploitdbwww.exploit-db.com/exploits/18984não verificadoexploitdbwww.exploit-db.com/exploits/18329não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
http://archives.neohapsis.com/archives/bugtraq/2012-01/0031.htmlhttp://secunia.com/advisories/47393https://issues.apache.org/jira/browse/WW-3668http://struts.apache.org/2.x/docs/s2-008.htmlhttp://struts.apache.org/2.x/docs/version-notes-2311.htmlhttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2012-0391https://www.sec-consult.com/files/20120104-0_Apache_Struts2_Multiple_Critical_Vulnerabilities.txthttp://www.exploit-db.com/exploits/18329