CVSS درجة الميتا الوقتية | سعر الإكسبلويت الحالي (≈) | درجة اهتمام الـCTI |
---|---|---|
8.7 | $0-$5k | 0.00 |
تم أكتشاف ثغرة أمنية في Apache Struts يصل إلى2.3.28. وقد تم تصنيفها على أنها خطيرة. المشكلة أثرت على دالة غير معروفة من العنصر REST Plugin. تعريف الـ سي دبليو أي للثغرة الأمنية هو CWE-20. المشكلة تم الإبلاغ عنها بتاريخ 02/06/2016 بواسطة Alvaro Munoz كـ S2-033 كـ Security Bulletin (Website). يمكن عرض الاستشارة من هنا struts.apache.org.
تم تسمية الثغرة بأسمCVE-2016-3087. تمت إحالة الـ سي في أي10/03/2016. يمكن شن الهجوم هذا عن بعد. التفاصيل التقنية غير متوفرة. الهجوم هذا كان معقد جداً. البيانات تشير أن الثغرة الأمنية صعبة الاستغلال. التقارير تشير بأن الثغرة الأمنية هذه ذات شهرة أقل من المتوسط. هنالك إكسبلويت متوفرة. تم الإبلاغ عن ال إكسبلويت ويمكن استخدامها. سعر الإكسبلويت الحالي تقريباً. USD $0-$5k في هذه اللحظة.
تم أعتبراها على أنها فعالة للغاية. يمكن تحميل الإكسبلويت من هناsecurityfocus.com. لكونها ثغرة هجوم فوري متوسط سعرها كان$5k-$25k. برنامج فحص الشبكات نيسوس يوفر ملحق بعنوان90773(Apache Struts 2.x < 2.3.28.1 Multiple Vulnerabilities), يمكنك من الكشف عن وجود هذه الثغرة. تصنيف عائلتها هوMisc.. الملحق يعمل بحسب الصنفl.
تحديث النسخة إلى إصدار2.3.20.3, 2.3.24.3 , 2.3.28.1 يمكن أن يحل هذه المشكلة. يمكن التقليل من حدة المشكلة عن طريق تطبيق إعدادات التكوين الأتيةDisable Dynamic Method Invocation
. ننصح بـ تحديث المكون المتأثر بهذه الثغرة. الاستشارة تتضمن الملاحظات التالية:
No issues expected when upgrading to Struts 2.3.20.3, 2.3.24.3 and 2.3.28.1
الثغرة الأمنية هذه تم تسجيلها في قواعد بيانات آخرى: SecurityFocus (BID 90960), SecurityTracker (ID 1036017) , Tenable (90773).
غير متأثر
- Apache Struts 2.3.20.3/2.3.24.3
منتج
النوع
المجهز
الأسم
النسخة
- 2.3.0
- 2.3.1
- 2.3.2
- 2.3.3
- 2.3.4
- 2.3.5
- 2.3.6
- 2.3.7
- 2.3.8
- 2.3.9
- 2.3.10
- 2.3.11
- 2.3.12
- 2.3.13
- 2.3.14
- 2.3.15
- 2.3.16
- 2.3.17
- 2.3.18
- 2.3.19
- 2.3.20
- 2.3.21
- 2.3.22
- 2.3.23
- 2.3.24
- 2.3.25
- 2.3.26
- 2.3.27
- 2.3.28
الرخصة
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍
CVSSv3
VulDB الدرجة الأساسية للميتا: 8.9VulDB درجة الميتا الوقتية: 8.7
VulDB الدرجة الأساسية: 8.1
VulDB الدرجة الوقتية: 7.7
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍
NVD الدرجة الأساسية: 9.8
NVD متجه: 🔍
CVSSv2
AV | AC | Au | C | I | A |
---|---|---|---|---|---|
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
متجه | التعقيد | توثيق | السرية | الأمانة | التوفر |
---|---|---|---|---|---|
افتح | افتح | افتح | افتح | افتح | افتح |
افتح | افتح | افتح | افتح | افتح | افتح |
افتح | افتح | افتح | افتح | افتح | افتح |
VulDB الدرجة الأساسية: 🔍
VulDB الدرجة الوقتية: 🔍
VulDB الاعتمادية: 🔍
NVD الدرجة الأساسية: 🔍
إكسبلويت
الفئة: تجاوز الصلاحياتCWE: CWE-20
CAPEC: 🔍
ATT&CK: 🔍
محلي: لا
عن بعد: نعم
التوفر: 🔍
وصول: عام
الحالة: فعالة للغاية
لغة البرمجة: 🔍
تحميل: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
تقدير السعر: 🔍
تقدير السعر الحالي: 🔍
0-Day | افتح | افتح | افتح | افتح |
---|---|---|---|---|
اليوم | افتح | افتح | افتح | افتح |
Nessus ID: 90773
Nessus الأسم: Apache Struts 2.x < 2.3.28.1 Multiple Vulnerabilities
Nessus ملف: 🔍
Nessus خطر: 🔍
Nessus عائلة: 🔍
Nessus Context: 🔍
OpenVAS ID: 861699
OpenVAS الأسم: Apache Struts Multiple Arbitrary Code Execution Vulnerabilities May16
OpenVAS ملف: 🔍
OpenVAS عائلة: 🔍
MetaSploit ID: struts_dmi_rest_exec.rb
MetaSploit الأسم: Apache Struts REST Plugin With Dynamic Method Invocation Remote Code Execution
MetaSploit ملف: 🔍
Exploit-DB: 🔍
استخبارات التهديد
الاهتمام: 🔍الفاعلين النشيطين: 🔍
مجوعات الـAPT الفعالة: 🔍
إجراءات مضادة
المقترح: ترقيةالحالة: 🔍
زمن الهجوم الفوري: 🔍
ترقية: Struts 2.3.20.3/2.3.24.3/2.3.28.1
Config: Disable Dynamic Method Invocation
التسلسل زمني
10/03/2016 🔍21/04/2016 🔍
28/04/2016 🔍
31/05/2016 🔍
02/06/2016 🔍
02/06/2016 🔍
03/06/2016 🔍
07/06/2016 🔍
22/08/2022 🔍
المصادر
المجهز: apache.orgاستشاري: S2-033
باحث: Alvaro Munoz
الحالة: مؤكد
تأكيد: 🔍
CVE: CVE-2016-3087 (🔍)
SecurityTracker: 1036017
SecurityFocus: 90960 - Apache Struts CVE-2016-3087 Remote Code Execution Vulnerability
scip Labs: https://www.scip.ch/en/?labs.20161013
آقرأ ايضاً: 🔍
ادخال
تم الانشاء: 03/06/2016 11:48تم التحديث: 22/08/2022 18:57
التغييرات: 03/06/2016 11:48 (78), 28/12/2018 10:54 (16), 22/08/2022 18:57 (3)
كامل: 🔍
Cache ID: 3:C93:103
لا توجد تعليقات اللغات: ar + en.
يرجى تسجيل الدخول حتى تتمكن من التعليق