NVD脆弱性詳細
Exploit、PoC検索
CVE-2014-0114
概要

Apache Commons BeanUtils, as distributed in lib/commons-beanutils-1.8.0.jar in Apache Struts 1.x through 1.3.10 and in other products requiring commons-beanutils through 1.9.2, does not suppress the class property, which allows remote attackers to "manipulate" the ClassLoader and execute arbitrary code via the class parameter, as demonstrated by the passing of this parameter to the getClass method of the ActionForm object in Struts 1.

公表日 2014年4月30日19:49
登録日 2021年1月26日15:04
最終更新日 2024年11月21日11:01
CVSS2.0 : HIGH
スコア 7.5
ベクター AV:N/AC:L/Au:N/C:P/I:P/A:P
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃前の認証要否(Au) 不要
機密性への影響(C)
完全性への影響(I)
可用性への影響(A)
全ての特権を取得 いいえ
ユーザー権限を取得 いいえ
その他の権限を取得 いいえ
ユーザー操作が必要 いいえ
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:apache:commons_beanutils:*:*:*:*:*:*:*:* 1.9.1
構成2 以上 以下 より上 未満
cpe:2.3:a:apache:struts:1.2.8:*:*:*:*:*:*:*
cpe:2.3:a:apache:struts:1.3.5:*:*:*:*:*:*:*
cpe:2.3:a:apache:struts:1.3.8:*:*:*:*:*:*:*
cpe:2.3:a:apache:struts:1.1:rc2:*:*:*:*:*:*
cpe:2.3:a:apache:struts:1.1:*:*:*:*:*:*:*
cpe:2.3:a:apache:struts:1.2.7:*:*:*:*:*:*:*
cpe:2.3:a:apache:struts:1.2.6:*:*:*:*:*:*:*
cpe:2.3:a:apache:struts:1.0:*:*:*:*:*:*:*
cpe:2.3:a:apache:struts:1.1:rc1:*:*:*:*:*:*
cpe:2.3:a:apache:struts:1.0.2:*:*:*:*:*:*:*
cpe:2.3:a:apache:struts:1.3.10:*:*:*:*:*:*:*
cpe:2.3:a:apache:struts:1.1:b1:*:*:*:*:*:*
cpe:2.3:a:apache:struts:1.2.4:*:*:*:*:*:*:*
cpe:2.3:a:apache:struts:1.2.2:*:*:*:*:*:*:*
cpe:2.3:a:apache:struts:1.1:b2:*:*:*:*:*:*
cpe:2.3:a:apache:struts:1.1:b3:*:*:*:*:*:*
cpe:2.3:a:apache:struts:1.2.9:*:*:*:*:*:*:*
関連情報、対策とツール
共通脆弱性一覧
JVN脆弱性情報
Apache Struts およびその他の製品で配布される Apache Commons BeanUtils における ClassLoader を操作される脆弱性
タイトル Apache Struts およびその他の製品で配布される Apache Commons BeanUtils における ClassLoader を操作される脆弱性
概要

Apache Struts の lib/commons-beanutils-1.8.0.jar および commons-beanutils を必要とするその他の製品で配布される Apache Commons BeanUtils は、class 属性を抑制しないため、ClassLoader を "操作 (manipulate)" され、任意のコードを実行される脆弱性が存在します。

想定される影響 第三者により、class パラメータを介して、ClassLoader を "操作 (manipulate)" され、任意のコードを実行される可能性があります。
対策

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日 2014年4月28日0:00
登録日 2014年5月1日18:19
最終更新日 2016年8月2日17:34
影響を受けるシステム
ヒューレット・パッカード
HP Device Manager 
HP XP P9000 Replication Manager
HP XP P9000 Tiered Storage Manager
HP XP7 Global Link Manager Software
Apache Software Foundation
Apache Struts  1.x から 1.3.10
オラクル
Oracle Communications Applications の MetaSolv Solution 6.2.1.0.0
Oracle Communications Applications の MetaSolv Solution ASR: 49.0.0
Oracle Communications Applications の MetaSolv Solution LSR: 10.1.0
Oracle Communications Applications の MetaSolv Solution LSR: 9.4.0
Oracle Fusion Middleware の Oracle Adaptive Access Manager 11.1.1.5
Oracle Fusion Middleware の Oracle Adaptive Access Manager 11.1.1.7
Oracle Fusion Middleware の Oracle Adaptive Access Manager 11.1.2.1
Oracle Fusion Middleware の Oracle Adaptive Access Manager 11.1.2.2
Oracle Fusion Middleware の Oracle Enterprise Data Quality 8.1.2
Oracle Fusion Middleware の Oracle Enterprise Data Quality 9.0.11
Oracle Fusion Middleware の Oracle JDeveloper 10.1.3.5
Oracle Fusion Middleware の Oracle JDeveloper 11.1.1.7
Oracle Fusion Middleware の Oracle JDeveloper 11.1.2.4
Oracle Fusion Middleware の Oracle JDeveloper 12.1.2.0
Oracle Fusion Middleware の Oracle JDeveloper 12.1.3.0
Oracle Fusion Middleware の Oracle Real-Time Decision Server 11.1.1.7 (RTD プラットフォーム 3.0.x)
Oracle Fusion Middleware の Oracle Waveset 8.1.1
Oracle Fusion Middleware の Oracle WebLogic Portal 10.0.1.0
Oracle Fusion Middleware の Oracle WebLogic Portal 10.2.1.0
Oracle Fusion Middleware の Oracle WebLogic Portal 10.3.6.0
Oracle Identity Manager 11.1.1.5
Oracle Identity Manager 11.1.1.7
Oracle Identity Manager 11.1.2.1
Oracle Identity Manager 11.1.2.2
Oracle Primavera Products Suite の Primavera Contract Management 13.1
Oracle Primavera Products Suite の Primavera Contract Management 14.0
Oracle Primavera Products Suite の Primavera P6 Enterprise Project Portfolio Management 7.0
Oracle Primavera Products Suite の Primavera P6 Enterprise Project Portfolio Management 8.0
Oracle Primavera Products Suite の Primavera P6 Enterprise Project Portfolio Management 8.1
Oracle Primavera Products Suite の Primavera P6 Enterprise Project Portfolio Management 8.2
Oracle Primavera Products Suite の Primavera P6 Enterprise Project Portfolio Management 8.3
Oracle Retail Applications の Allocation 10.0
Oracle Retail Applications の Allocation 11.0
Oracle Retail Applications の Allocation 12.0
Oracle Retail Applications の Allocation 13.0
Oracle Retail Applications の Allocation 13.1
Oracle Retail Applications の Allocation 13.2
Oracle Retail Applications の Back Office 12.0
Oracle Retail Applications の Back Office 12.0.9IN
Oracle Retail Applications の Back Office 13.0
Oracle Retail Applications の Back Office 13.1
Oracle Retail Applications の Back Office 13.2
Oracle Retail Applications の Back Office 13.3
Oracle Retail Applications の Back Office 13.4
Oracle Retail Applications の Back Office 14.0
Oracle Retail Applications の Back Office 8.0
Oracle Retail Applications の Central Office 12.0
Oracle Retail Applications の Central Office 12.0.9IN
Oracle Retail Applications の Central Office 13.0
Oracle Retail Applications の Central Office 13.1
Oracle Retail Applications の Central Office 13.2
Oracle Retail Applications の Central Office 13.3
Oracle Retail Applications の Central Office 13.4
Oracle Retail Applications の Central Office 14.0
Oracle Retail Applications の Central Office 8.0
Oracle Retail Applications の Clearance Optimization Engine 13.3
Oracle Retail Applications の Clearance Optimization Engine 13.4
Oracle Retail Applications の Clearance Optimization Engine 14.0
Oracle Retail Applications の Invoice Matching 11.0
Oracle Retail Applications の Invoice Matching 12.0
Oracle Retail Applications の Invoice Matching 12.0 IN
Oracle Retail Applications の Invoice Matching 12.1
Oracle Retail Applications の Invoice Matching 13.0
Oracle Retail Applications の Invoice Matching 13.1
Oracle Retail Applications の Invoice Matching 13.2
Oracle Retail Applications の Invoice Matching 14.0
Oracle Retail Applications の Markdown Optimization 12.0
Oracle Retail Applications の Markdown Optimization 13.0
Oracle Retail Applications の Markdown Optimization 13.1
Oracle Retail Applications の Markdown Optimization 13.2
Oracle Retail Applications の Markdown Optimization 13.4
Oracle Retail Applications の Returns Management 13.1
Oracle Retail Applications の Returns Management 13.2
Oracle Retail Applications の Returns Management 13.3
Oracle Retail Applications の Returns Management 13.4
Oracle Retail Applications の Returns Management 14.0
Oracle Retail Applications の Returns Management 2.0
Oracle WebLogic Server 10.0.2.0
Oracle WebLogic Server 10.3.6.0
Oracle WebLogic Server 12.1.1.0
Oracle WebLogic Server 12.1.2.0
Oracle WebLogic Server 12.1.3.0
IBM
IBM Connections 3.0.1.1 およびそれ以前
IBM Connections 4.0
IBM Connections 4.5
IBM Connections 5.0
IBM Content Collector 2.2
IBM Lotus Expeditor 6.1.x
IBM Lotus Expeditor 6.2.x
IBM Lotus Quickr 8.5 for WebSphere Portal
IBM Rational Change 5.2
IBM Rational Change 5.3
IBM Rational Change 5.3.1
IBM WebSphere Portal 6.1.x
IBM WebSphere Portal 7
IBM WebSphere Portal 8.0
IBM WebSphere Portal 8.5
Lotus Mashups 2.0.0.2
Lotus Mashups 3.0.0.1
日本電気
ESMPRO/ServerManager Ver5.75 およびそれ以前
InfoCage PCセキュリティ 全バージョン
InfoCage セキュリティリスク管理 V1.0.0 から V1.0.6
InfoCage セキュリティリスク管理 V1.0.0 から V2.1.3
WebOTX Enterprise Edition V5.1 から V5.2
WebOTX Enterprise Edition V6.1 から V6.5
WebOTX RFID Manager Enterprise V7.1
WebOTX RFID Manager Lite V2.0
WebOTX RFID Manager Standard V2.0
WebOTX Standard Edition V5.1 から V5.2
WebOTX Standard Edition V6.1 から V6.5
WebOTX Standard-J Edition V5.1 から V5.2
WebOTX Standard-J Edition V6.1 から V6.5
WebOTX Web Edition V5.1 から V5.2
WebOTX Web Edition V6.1 から V6.5
WebOTX Application Server V7.1
WebOTX Developer V8.2 から V8.4 (with Developer's Studio のみ)
WebOTX Developer V9.1 から V9.2 (with Developer's Studio のみ)
WebOTX Portal V8.3 から V8.4
WebOTX Portal V9.1
富士通
FUJITSU Integrated System HA Database Ready 
Interstage Business Analytics Modeling Server
Interstage Business Process Manager Analytics
Interstage eXtreme Transaction Processing Server
Interstage Mobile Manager
Interstage Navigator Explorer Server
Interstage Application Development Cycle Manager 
Interstage Application Framework Suite 
Interstage Application Server 
Interstage Apworks 
Interstage Business Application Server 
Interstage Job Workload Server 
Interstage Service Integrator 
Interstage Studio 
ServerView Resource Orchestrator
Symfoware Analytics Server
Symfoware Server
Systemwalker Service Catalog Manager 
Systemwalker Service Quality Coordinator 
Systemwalker Software Configuration Manager 
TRIOLE クラウドミドルセット Bセット
クラウド インフラ マネージメント ソフトウェア 
日立
Hitachi Device Manager Software
Hitachi Global Link Manager Software
Hitachi Replication Manager Software
Hitachi Tiered Storage Manager Software
Hitachi Tuning Manager Software
Job Management Partner 1/Performance Management - Web Console 
JP1/Performance Management - Manager Web Option
JP1/Performance Management - Web Console
株式会社エヌ・ティ・ティ・データ
TERASOLUNA Server Framework for Java(Web) 2.0.0.1 から 2.0.5.1 まで
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
0 [2014年05月01日]
  掲載
[2014年05月14日]
  影響を受けるシステム:富士通 (CVE-2014-0094 他 に関する影響) の情報を追加
  ベンダ情報:富士通 (CVE-2014-0094 他 に関する影響) を追加
  ベンダ情報:富士通 (Interstage BAS Strutsの脆弱性(CVE-2014-0114)) を追加
[2014年06月17日]
  影響を受けるシステム:株式会社エヌ・ティ・ティ・データ (株式会社エヌ・ティ・ティ・データ の告知ページ) の情報を追加
  ベンダ情報:株式会社エヌ・ティ・ティ・データ (株式会社エヌ・ティ・ティ・データ の告知ページ) を追加
  ベンダ情報:株式会社エヌ・ティ・ティ・データ (TERASOLUNA Framework) を追加
  ベンダ情報:株式会社エヌ・ティ・ティ・データ (Apache Struts 1.2.9 with SP1 by TERASOLUNA) を追加
  参考情報:JVN iPedia (JVNDB-2014-000056) を追加
[2014年07月09日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:富士通 (Interstage Navigator Explorer Server: Strutsの脆弱性(CVE-2014-0114)) を追加
[2014年07月14日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:IBM (1675523) の情報を追加
  ベンダ情報:IBM (1678009) の情報を追加
[2014年07月22日]
  タイトル:内容を更新
  概要:内容を更新
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  想定される影響:内容を更新
  対策:内容を更新
  ベンダ情報:Apache Software Foundation (BEANUTILS-463) を追加
  ベンダ情報:Apache Software Foundation (Commons BeanUtils Package Version 1.9.2 Release Notes) を追加
  ベンダ情報:IBM (1676303) を追加
  ベンダ情報:IBM (1676375) を追加
  ベンダ情報:IBM (1676931) を追加
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - July 2014) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - July 2014 Risk Matrices) を追加
  ベンダ情報:オラクル (July 2014 Critical Patch Update Released) を追加
  ベンダ情報:レッドハット (Does CVE-2014-0114 affect Struts 1 in Red Hat products?) を追加
  ベンダ情報:レッドハット (Bug 1116665) を追加
[2014年07月23日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:日立 (HS14-018) を追加
[2014年08月06日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:日立 (HS14-020) を追加
[2014年08月11日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:IBM (1678621) を追加
[2014年09月02日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:IBM (1680848) を追加 
  ベンダ情報:IBM (1681190) を追加
  ベンダ情報:IBM (1680767) を追加
  ベンダ情報:IBM (1680194) を追加
[2014年10月21日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - October 2014) を追加 
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - October 2014 Risk Matrices) を追加
  ベンダ情報:オラクル (October 2014 Critical Patch Update Released) を追加
[2014年11月28日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:ヒューレット・パッカード (HPSBST03160 SSRT101747) を追加
[2015年01月22日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - January 2015) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - January 2015 Risk Matrices) を追加
  ベンダ情報:オラクル (January 2015 Critical Patch January 2015 Critical Patch Update Released) を追加
[2015年08月07日]
  ベンダ情報:IBM (1676091) を追加
[2016年08月02日]
  影響を受けるシステム:ベンダ情報の更新に伴い内容を更新
  ベンダ情報:日本電気 (NV15-001) を追加		 2018年2月17日10:37
1 [2020年09月02日]
  参考情報:ICS-CERT ADVISORY (ICSMA-20-184-01) を追加		 2020年9月1日16:57