CVE-2014-0112
CVE-2014-0112
Vexday Risk Score
60Atenção
Decisão SSVC (CISA)
Attend
PoC disponível → acompanhar de perto
CVSS —EPSS 97.9%KEV nãoPoC públicaNuclei —Metasploit simPatch referenciado
Ciclo de vida
06 mar 2014Exploit Metasploit disponível
06 mar 2014PoC pública
29 abr 2014Publicada no NVD
Recomendação: Planejar correção próxima — já existe PoC pública.
ParametersInterceptor in Apache Struts before 2.3.20 does not properly restrict access to the getClass method, which allows remote attackers to "manipulate" the ClassLoader and execute arbitrary code via a crafted request. NOTE: this vulnerability exists because of an incomplete fix for CVE-2014-0094.
Produtos afetados
n/a · n/aPoCs públicas encontradas — 3
cve_referencepacketstormsecurity.com/files/127215/VMware-Security-Advisory-2014-0007.htmlnão verificadoexploitdbwww.exploit-db.com/exploits/33142não verificadoexploitdbwww.exploit-db.com/exploits/41690não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
http://jvndb.jvn.jp/jvndb/JVNDB-2014-000045http://jvn.jp/en/jp/JVN19294237/index.htmlhttp://packetstormsecurity.com/files/127215/VMware-Security-Advisory-2014-0007.htmlhttps://access.redhat.com/errata/RHSA-2019:0910https://bugzilla.redhat.com/show_bug.cgi?id=1091939https://cwiki.apache.org/confluence/display/WW/S2-021http://secunia.com/advisories/59178http://secunia.com/advisories/59500http://www-01.ibm.com/support/docview.wss?uid=swg21676706http://www.oracle.com/technetwork/topics/security/cpuapr2015-2365600.htmlhttp://www.securityfocus.com/archive/1/531952/100/0/threadedhttp://www.securityfocus.com/archive/1/532549/100/0/threaded