← voltar
CVE-2013-2251

CVE-2013-2251

CVSS 9.8 CRITICALEPSS 100.0%● KEVCWE-74
Em resumo

O Apache Struts 2 versões até 2.3.15 permite que atacantes executem código malicioso no servidor enviando requisições especialmente crafted. Isso ocorre porque a aplicação não valida adequadamente a entrada do usuário antes de processar, colocando qualquer site usando este software em sério risco.

Detalhe técnico

Atacantes remotos podem alcançar execução arbitrária de código injetando expressões OGNL (Object-Graph Navigation Language) maliciosas através de parâmetros HTTP com prefixos action:, redirect: ou redirectAction:. A vulnerabilidade existe devido à validação insuficiente de entrada no processamento de parâmetros, permitindo exploração sem autenticação com impacto crítico em confidencialidade, integridade e disponibilidade.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Apache Struts 2.0.0 through 2.3.15 allows remote attackers to execute arbitrary OGNL expressions via a parameter with a crafted (1) action:, (2) redirect:, or (3) redirectAction: prefix.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · n/a
PoCs públicas encontradas4
githubgithub.com/nth347/CVE-2013-22510cve_referencepacketstormsecurity.com/files/159629/Apache-Struts-2-Remote-Code-Execution.htmlnão verificadoexploitdbwww.exploit-db.com/exploits/27135não verificadoexploitdbwww.exploit-db.com/exploits/44583não verificado
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
http://archiva.apache.org/security.htmlhttp://cxsecurity.com/issue/WLB-2014010087http://osvdb.org/98445http://packetstormsecurity.com/files/159629/Apache-Struts-2-Remote-Code-Execution.htmlhttp://seclists.org/fulldisclosure/2013/Oct/96http://seclists.org/oss-sec/2014/q1/89https://exchange.xforce.ibmcloud.com/vulnerabilities/90392http://struts.apache.org/release/2.3.x/docs/s2-016.htmlhttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2013-2251http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20131023-struts2http://www.fujitsu.com/global/support/software/security/products-f/interstage-bpm-analytics-201301e.htmlhttp://www.oracle.com/technetwork/topics/security/cpujan2014-1972949.html