Бесплатно Экспресс-аудит сайта:

15.07.2014

Cisco выпустила патч для уязвимости в Apache Struts2 четырехлетней давности

О существовании CVE-2010-1870 стало первоначально известно в июле 2010 года. Обычно, уязвимость возникает из-за того, как Apache Struts2 обрабатывает команды, передаваемые в Object-Graph Navigation Language. Как говорится в уведомлении Apache: "Уязвимость позволяет злоумышленнику обойти защиту, встроенную в ParametersInterceptor, таким образом, получая возможность манипулировать объектами сервера".

Cisco подтвердила, что ее решение Unified Contact Centre Enterprise Environment подвержены уязвимости. В связи с этим брешь может иметь воздействие и на другие продукты, которые используют среду Apache Struts2: Cisco Business Edition 3000, Cisco Identity Services Engine, а также Media Experience Engine (MXE) 3500.

"Эта уязвимость позволяет удаленно выполнить код на системе с правами администратора для Cisco Unified CCE. Эксплуатация бреши в Cisco ISE, Cisco MXE 3500 и Cisco Business Edition 3000 теоретически возможна, однако не может быть осуществлена. Cisco рекомендует своим заказчикам, которые могут быть подвержены уязвимости, обновить программное обеспечение", - говорится в сообщении компании.