NVD脆弱性詳細
Exploit、PoC検索
CVE-2013-2251
概要

Apache Struts 2.0.0 through 2.3.15 allows remote attackers to execute arbitrary OGNL expressions via a parameter with a crafted (1) action:, (2) redirect:, or (3) redirectAction: prefix.

概要

Apache Struts v2.0.0 hasta v2.3.15 permite a atacantes remotos ejecutar expresiones OGNL arbitrarias mediante un parámetro con una (1)acción:, (2) redirect:, o (3) redirectAction:

公表日 2013年7月20日12:37
登録日 2021年1月26日15:38
最終更新日 2026年4月22日23:39
CVSS3.1 : CRITICAL
スコア 9.8
ベクター CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃に必要な特権レベル(PR) 不要
利用者の関与(UI) 不要
影響の想定範囲(S) 変更なし
機密性への影響(C)
完全性への影響(I)
可用性への影響(A)
CVSS2.0 : HIGH
スコア 9.3
ベクター AV:N/AC:M/Au:N/C:C/I:C/A:C
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃前の認証要否(Au) 不要
機密性への影響(C)
完全性への影響(I)
可用性への影響(A)
全ての特権を取得 いいえ
ユーザー権限を取得 いいえ
その他の権限を取得 いいえ
ユーザー操作が必要 いいえ
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:apache:archiva:*:*:*:*:*:*:*:* 1.3 1.3.8
cpe:2.3:a:apache:archiva:1.2:-:*:*:*:*:*:*
cpe:2.3:a:apache:archiva:1.2.2:*:*:*:*:*:*:*
cpe:2.3:a:apache:struts:*:*:*:*:*:*:*:* 2.0.0 2.3.15
cpe:2.3:a:fujitsu:interstage_business_process_manager_analytics:12.0:*:*:*:*:*:*:*
cpe:2.3:a:fujitsu:interstage_business_process_manager_analytics:12.1:*:*:*:*:*:*:*
cpe:2.3:a:oracle:siebel_apps_-_e-billing:6.1:*:*:*:*:*:*:*
cpe:2.3:a:oracle:siebel_apps_-_e-billing:6.1.1:*:*:*:*:*:*:*
cpe:2.3:a:oracle:siebel_apps_-_e-billing:6.2:*:*:*:*:*:*:*
構成2 以上 以下 より上 未満
関連情報、対策とツール
共通脆弱性一覧
JVN脆弱性情報
Apache Struts において任意のコマンドを実行される脆弱性
タイトル Apache Struts において任意のコマンドを実行される脆弱性
概要

Apache Struts には、任意のコマンドを実行される脆弱性が存在します。 Apache Software Foundation が提供する Apache Struts は、Java のウェブアプリケーションを作成するためのソフトウェアフレームワークです。Apache Struts には、任意のコマンドを実行される脆弱性が存在します。 本件は、7月16日に開発者が公開した S2-016 の脆弱性と同じものです。 なお、本脆弱性を使用した攻撃活動が確認されています。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 三井物産セキュアディレクション株式会社 寺田 健 氏

想定される影響 Apache Struts が設置されているサーバ上で任意のコマンドを実行される可能性があります。
対策

[アップデートする] 開発者が提供する情報をもとに最新版へアップデートしてください。
公表日 2013年7月9日0:00
登録日 2013年7月23日14:04
最終更新日 2015年8月11日15:15
影響を受けるシステム
Apache Software Foundation
Apache Struts 2.0.0 から 2.3.15 まで
オラクル
MySQL Enterprise Monitor 2.3.13 およびそれ以前
Oracle Financial Services Software の Oracle FLEXCUBE Private Banking 1.7
Oracle Financial Services Software の Oracle FLEXCUBE Private Banking 12.0.1
Oracle Financial Services Software の Oracle FLEXCUBE Private Banking 2.0
Oracle Financial Services Software の Oracle FLEXCUBE Private Banking 2.0.1
Oracle Financial Services Software の Oracle FLEXCUBE Private Banking 2.2.0.1
Oracle Financial Services Software の Oracle FLEXCUBE Private Banking 3.0
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
0 [2013年07月23日]
  掲載
[2013年07月30日]
  CVSS による深刻度:内容を更新
[2013年09月06日]
  JVN#33504150 にあわせ、タイトル、概要、想定される影響、対策を更新
  CVSS、CWE を IPA 値に変更
  影響を受けるシステム:内容を更新
  ベンダ情報:富士通 (Interstage Business Process Manager Analytics: 任意のコード実行の脆弱性(CVE-2013-2248, CVE-2013-2251) (2013年9月4日)) を追加
[2013年10月23日]
  影響を受けるシステム:オラクル (Oracle Critical Patch Update Advisory - October 2013) の情報を追加
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - October 2013) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - October 2013 Risk Matrices) を追加
  ベンダ情報:オラクル (October 2013 Critical Patch Update Released) を追加
[2013年11月12日]
  ベンダ情報:シスコシステムズ (cisco-sa-20131023-struts2) を追加
  ベンダ情報:シスコシステムズ (30128) を追加
[2014年06月26日]
  ベンダ情報:IBM (1670064) を追加
  ベンダ情報:IBM (1667890) を追加
[2015年07月29日]
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - July 2015) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - July 2015 Risk Matrices) を追加
  ベンダ情報:オラクル (July 2015 Critical Patch Update Released) を追加
[2015年08月11日]
  ベンダ情報:Apache Software Foundation (CVE-2013-2251: Apache Archiva Remote Command Execution) を追加		 2018年2月17日10:37