CVSS درجة الميتا الوقتية	سعر الإكسبلويت الحالي (≈)	درجة اهتمام الـCTI
8.7	$0-$5k	0.00

تم أكتشاف ثغرة أمنية في Apache Struts يصل إلى2.3.28. وقد تم تصنيفها على أنها خطيرة. المشكلة أثرت على دالة غير معروفة من العنصر REST Plugin. تعريف الـ سي دبليو أي للثغرة الأمنية هو CWE-20. المشكلة تم الإبلاغ عنها بتاريخ 02/06/2016 بواسطة Alvaro Munoz كـ S2-033 كـ Security Bulletin (Website). يمكن عرض الاستشارة من هنا struts.apache.org.

تم تسمية الثغرة بأسمCVE-2016-3087. تمت إحالة الـ سي في أي10/03/2016. يمكن شن الهجوم هذا عن بعد. التفاصيل التقنية غير متوفرة. الهجوم هذا كان معقد جداً. البيانات تشير أن الثغرة الأمنية صعبة الاستغلال. التقارير تشير بأن الثغرة الأمنية هذه ذات شهرة أقل من المتوسط. هنالك إكسبلويت متوفرة. تم الإبلاغ عن ال إكسبلويت ويمكن استخدامها. سعر الإكسبلويت الحالي تقريباً. USD $0-$5k في هذه اللحظة.

تم أعتبراها على أنها فعالة للغاية. يمكن تحميل الإكسبلويت من هناsecurityfocus.com. لكونها ثغرة هجوم فوري متوسط سعرها كان$5k-$25k. برنامج فحص الشبكات نيسوس يوفر ملحق بعنوان90773(Apache Struts 2.x < 2.3.28.1 Multiple Vulnerabilities), يمكنك من الكشف عن وجود هذه الثغرة. تصنيف عائلتها هوMisc.. الملحق يعمل بحسب الصنفl.

تحديث النسخة إلى إصدار2.3.20.3, 2.3.24.3 , 2.3.28.1 يمكن أن يحل هذه المشكلة. يمكن التقليل من حدة المشكلة عن طريق تطبيق إعدادات التكوين الأتيةDisable Dynamic Method Invocation. ننصح بـ تحديث المكون المتأثر بهذه الثغرة. الاستشارة تتضمن الملاحظات التالية:

No issues expected when upgrading to Struts 2.3.20.3, 2.3.24.3 and 2.3.28.1

الثغرة الأمنية هذه تم تسجيلها في قواعد بيانات آخرى: SecurityFocus (BID 90960), SecurityTracker (ID 1036017) , Tenable (90773).

غير متأثر

• Apache Struts 2.3.20.3/2.3.24.3

منتجالمعلومات

النوع

• Programming Tool Software

المجهز

• Apache

الأسم

• Struts

النسخة

• 2.3.0
• 2.3.1
• 2.3.2
• 2.3.3
• 2.3.4
• 2.3.5
• 2.3.6
• 2.3.7
• 2.3.8
• 2.3.9
• 2.3.10
• 2.3.11
• 2.3.12
• 2.3.13
• 2.3.14
• 2.3.15
• 2.3.16
• 2.3.17
• 2.3.18
• 2.3.19
• 2.3.20
• 2.3.21
• 2.3.22
• 2.3.23
• 2.3.24
• 2.3.25
• 2.3.26
• 2.3.27
• 2.3.28

الرخصة

• open-source

CPE 2.3المعلومات

• 🔍
• 🔍
• 🔍

CPE 2.2المعلومات

• 🔍
• 🔍
• 🔍

CVSSv4المعلومات

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍

CVSSv3المعلومات

VulDB الدرجة الأساسية للميتا: 8.9
VulDB درجة الميتا الوقتية: 8.7

VulDB الدرجة الأساسية: 8.1
VulDB الدرجة الوقتية: 7.7
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍

NVD الدرجة الأساسية: 9.8
NVD متجه: 🔍

CVSSv2المعلومات

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

متجه	التعقيد	توثيق	السرية	الأمانة	التوفر
افتح	افتح	افتح	افتح	افتح	افتح
افتح	افتح	افتح	افتح	افتح	افتح
افتح	افتح	افتح	افتح	افتح	افتح

VulDB الدرجة الأساسية: 🔍
VulDB الدرجة الوقتية: 🔍
VulDB الاعتمادية: 🔍

NVD الدرجة الأساسية: 🔍

إكسبلويتالمعلومات

الفئة: تجاوز الصلاحيات
CWE: CWE-20
CAPEC: 🔍
ATT&CK: 🔍

محلي: لا
عن بعد: نعم

التوفر: 🔍
وصول: عام
الحالة: فعالة للغاية
لغة البرمجة: 🔍
تحميل: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

تقدير السعر: 🔍
تقدير السعر الحالي: 🔍

0-Day	افتح	افتح	افتح	افتح
اليوم	افتح	افتح	افتح	افتح

Nessus ID: 90773
Nessus الأسم: Apache Struts 2.x < 2.3.28.1 Multiple Vulnerabilities
Nessus ملف: 🔍
Nessus خطر: 🔍
Nessus عائلة: 🔍
Nessus Context: 🔍

OpenVAS ID: 861699
OpenVAS الأسم: Apache Struts Multiple Arbitrary Code Execution Vulnerabilities May16
OpenVAS ملف: 🔍
OpenVAS عائلة: 🔍

MetaSploit ID: struts_dmi_rest_exec.rb
MetaSploit الأسم: Apache Struts REST Plugin With Dynamic Method Invocation Remote Code Execution
MetaSploit ملف: 🔍

Exploit-DB: 🔍

استخبارات التهديدالمعلومات

الاهتمام: 🔍
الفاعلين النشيطين: 🔍
مجوعات الـAPT الفعالة: 🔍

إجراءات مضادةالمعلومات

المقترح: ترقية
الحالة: 🔍

زمن الهجوم الفوري: 🔍

ترقية: Struts 2.3.20.3/2.3.24.3/2.3.28.1
Config: Disable Dynamic Method Invocation

التسلسل زمنيالمعلومات

10/03/2016 🔍
21/04/2016 +42 أيام 🔍
28/04/2016 +7 أيام 🔍
31/05/2016 +33 أيام 🔍
02/06/2016 +2 أيام 🔍
02/06/2016 +0 أيام 🔍
03/06/2016 +1 أيام 🔍
07/06/2016 +4 أيام 🔍
22/08/2022 +2267 أيام 🔍

المصادرالمعلومات

المجهز: apache.org

استشاري: S2-033
باحث: Alvaro Munoz
الحالة: مؤكد
تأكيد: 🔍

CVE: CVE-2016-3087 (🔍)
SecurityTracker: 1036017
SecurityFocus: 90960 - Apache Struts CVE-2016-3087 Remote Code Execution Vulnerability

scip Labs: https://www.scip.ch/en/?labs.20161013
آقرأ ايضاً: 🔍

ادخالالمعلومات

تم الانشاء: 03/06/2016 11:48
تم التحديث: 22/08/2022 18:57
التغييرات: 03/06/2016 11:48 (78), 28/12/2018 10:54 (16), 22/08/2022 18:57 (3)
كامل: 🔍
Cache ID: 3:C93:103

مناقشة

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!