Cookie Consent by Free Privacy Policy Generator ๐Ÿ“Œ Apache Struts bis 2.3.28 REST Plugin erweiterte Rechte

๐Ÿ  Team IT Security News

TSecurity.de ist eine Online-Plattform, die sich auf die Bereitstellung von Informationen,alle 15 Minuten neuste Nachrichten, Bildungsressourcen und Dienstleistungen rund um das Thema IT-Sicherheit spezialisiert hat.
Ob es sich um aktuelle Nachrichten, Fachartikel, Blogbeitrรคge, Webinare, Tutorials, oder Tipps & Tricks handelt, TSecurity.de bietet seinen Nutzern einen umfassenden รœberblick รผber die wichtigsten Aspekte der IT-Sicherheit in einer sich stรคndig verรคndernden digitalen Welt.

16.12.2023 - TIP: Wer den Cookie Consent Banner akzeptiert, kann z.B. von Englisch nach Deutsch รผbersetzen, erst Englisch auswรคhlen dann wieder Deutsch!

Google Android Playstore Download Button fรผr Team IT Security



๐Ÿ“š Apache Struts bis 2.3.28 REST Plugin erweiterte Rechte


๐Ÿ’ก Newskategorie: Sicherheitslรผcken
๐Ÿ”— Quelle: vuldb.com

Es wurde eine kritische Schwachstelle in Apache Struts bis 2.3.28 gefunden. Es geht dabei um eine unbekannte Funktion der Komponente REST Plugin. Durch die Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 02.06.2016 durch Alvaro Munoz als S2-033 in Form eines bestätigten Security Bulletins (Website) publiziert. Das Advisory kann von struts.apache.org heruntergeladen werden. Die Identifikation der Schwachstelle wird mit CVE-2016-3087 vorgenommen. Der Angriff kann über das Netzwerk erfolgen. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar.

Ein Aktualisieren auf die Version 2.3.20.3, 2.3.24.3 oder 2.3.28.1 vermag dieses Problem zu lösen. Mit der Einstellung Disable Dynamic Method Invocation kann das Problem auch adressiert werden. Als bestmögliche Massnahme wird das Upgrade auf eine neue Version empfohlen. Das Advisory stellt fest:

No issues expected when upgrading to Struts 2.3.20.3, 2.3.24.3 and 2.3.28.1

Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1036017) dokumentiert. Mit dieser Schwachstelle verwandte Einträge finden sich unter 87718.

Nicht betroffen

  • Apache Struts 2.3.20.3/2.3.24.3

CVSS

Base Score: 6.0 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P) [?]
Temp Score: 5.2 (CVSS2#E:ND/RL:OF/RC:C) [?]

CPE

Exploiting

Klasse: Erweiterte Rechte
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $10k-$25k (0-day) / $5k-$10k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden

Upgrade: Struts 2.3.20.3/2.3.24.3/2.3.28.1
Config: Disable Dynamic Method Invocation

Timeline

02.06.2016 Advisory veröffentlicht
02.06.2016 SecurityTracker Eintrag erstellt
03.06.2016 VulDB Eintrag erstellt
03.06.2016 VulDB Eintrag aktualisiert

Quellen

Advisory: S2-033
Person: Alvaro Munoz
Status: Bestätigt

CVE: CVE-2016-3087 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityTracker: 1036017 - Apache Struts REST Plugin Lets Remote Users Execute Arbitrary Code on the Target System

Siehe auch: 87718

Eintrag

Erstellt: 03.06.2016
Eintrag: 77.8% komplett
...













๐Ÿ“Œ Apache Struts bis 2.3.28 REST Plugin erweiterte Rechte


๐Ÿ“ˆ 49.97 Punkte

๐Ÿ“Œ Apache Struts bis 2.3.28.1 REST Plugin Expression erweiterte Rechte


๐Ÿ“ˆ 49.97 Punkte

๐Ÿ“Œ Apache Struts bis 2.3.28 REST Plugin erweiterte Rechte


๐Ÿ“ˆ 49.97 Punkte

๐Ÿ“Œ Apache Struts bis 2.3.28.1 REST Plugin Expression erweiterte Rechte


๐Ÿ“ˆ 49.97 Punkte

๐Ÿ“Œ Apache Struts bis 2.5.12 REST Plugin XML Data erweiterte Rechte


๐Ÿ“ˆ 49.97 Punkte

๐Ÿ“Œ Apache Struts 2.3.x Struts 1 Plugin ActionMessage erweiterte Rechte


๐Ÿ“ˆ 49.31 Punkte

๐Ÿ“Œ Apache Struts bis 2.3.33/2.5.12 REST Plugin Denial of Service


๐Ÿ“ˆ 39.46 Punkte

๐Ÿ“Œ Apache Struts bis 2.5.14 REST Plugin Denial of Service


๐Ÿ“ˆ 39.46 Punkte

๐Ÿ“Œ Apache Struts REST Plugin bis 2.5.15 Xstream XML Data Denial of Service


๐Ÿ“ˆ 39.46 Punkte

๐Ÿ“Œ Apache Struts 2 Struts 1 Plugin Showcase OGNL Code Execution


๐Ÿ“ˆ 38.8 Punkte

๐Ÿ“Œ Apache Struts 2 Struts 1 Plugin Showcase OGNL Code Execution


๐Ÿ“ˆ 38.8 Punkte

๐Ÿ“Œ [remote] Apache Struts 2 - Struts 1 Plugin Showcase OGNL Code Execution (Metasploit)


๐Ÿ“ˆ 38.8 Punkte

๐Ÿ“Œ #0daytoday #Apache Struts 2 - Struts 1 Plugin Showcase OGNL Code Execution Exploit [#0day #Exploit]


๐Ÿ“ˆ 38.8 Punkte

๐Ÿ“Œ Apache Struts 2.3.x Struts 1 Plugin ActionMessage input validation


๐Ÿ“ˆ 38.8 Punkte

๐Ÿ“Œ Apache Struts 2 REST Plugin XStream Remote Code Execution


๐Ÿ“ˆ 36.05 Punkte

๐Ÿ“Œ Apache Struts up to 2.3.28 REST Plugin privilege escalation


๐Ÿ“ˆ 36.05 Punkte

๐Ÿ“Œ Apache Struts up to 2.5.12 REST Plugin XML Data privilege escalation


๐Ÿ“ˆ 36.05 Punkte

๐Ÿ“Œ Apache Struts up to 2.3.33/2.5.12 REST Plugin denial of service


๐Ÿ“ˆ 36.05 Punkte

๐Ÿ“Œ Apache Struts REST Plugin up to 2.5.15 Xstream XML Data denial of service


๐Ÿ“ˆ 36.05 Punkte

๐Ÿ“Œ Apache Struts REST Plugin With Dynamic Method Invocation Remote Code Execution


๐Ÿ“ˆ 36.05 Punkte

๐Ÿ“Œ Apache Struts REST Plugin With Dynamic Method Invocation Remote Code Execution


๐Ÿ“ˆ 36.05 Punkte

๐Ÿ“Œ Pivotal Spring Data REST bis 2.5.11/2.6.6/3.0 RC2 REST Server JSON Data Code erweiterte Rechte


๐Ÿ“ˆ 35.23 Punkte

๐Ÿ“Œ Apache Struts bis 2.3.28 Double OGNL Evaluation erweiterte Rechte


๐Ÿ“ˆ 34.08 Punkte

๐Ÿ“Œ Apache Struts bis 2.3.24.1 Double OGNL Evaluation erweiterte Rechte


๐Ÿ“ˆ 34.08 Punkte

๐Ÿ“Œ Apache Struts bis 2.3.28.1 Restriction erweiterte Rechte


๐Ÿ“ˆ 34.08 Punkte

๐Ÿ“Œ Apache Struts bis 1.3.10 MultiPageValidator page erweiterte Rechte


๐Ÿ“ˆ 34.08 Punkte

๐Ÿ“Œ Apache Struts bis 2.3.28.1 Restriction erweiterte Rechte


๐Ÿ“ˆ 34.08 Punkte

๐Ÿ“Œ Apache Struts bis 2.3.24.1 Double OGNL Evaluation erweiterte Rechte


๐Ÿ“ˆ 34.08 Punkte

๐Ÿ“Œ Apache Struts bis 2.3.28.1 Restriction erweiterte Rechte


๐Ÿ“ˆ 34.08 Punkte

๐Ÿ“Œ Apache Struts bis 1.3.10 MultiPageValidator page erweiterte Rechte


๐Ÿ“ˆ 34.08 Punkte

๐Ÿ“Œ Apache Struts bis 2.3.28.1 Restriction erweiterte Rechte


๐Ÿ“ˆ 34.08 Punkte

๐Ÿ“Œ Apache Struts bis 2.3.31/2.5.10 Jakarta Multipart Parser Content-Type erweiterte Rechte


๐Ÿ“ˆ 34.08 Punkte

๐Ÿ“Œ Apache Struts bis 2.3.24.0 erweiterte Rechte [CVE-2015-5209]


๐Ÿ“ˆ 34.08 Punkte

๐Ÿ“Œ Apache Struts bis 2.0.33/2.5.10 Freemarker Tag erweiterte Rechte


๐Ÿ“ˆ 34.08 Punkte

๐Ÿ“Œ Apache Struts bis 2.3.19 TextParseUtiltranslateVariables OGNL Expression erweiterte Rechte


๐Ÿ“ˆ 34.08 Punkte

matomo