NVD Vulnerability Detail
Search Exploit, PoC
CVE-2013-2251
Summary

Apache Struts 2.0.0 through 2.3.15 allows remote attackers to execute arbitrary OGNL expressions via a parameter with a crafted (1) action:, (2) redirect:, or (3) redirectAction: prefix.

Publication Date July 20, 2013, 12:37 p.m.
Registration Date Jan. 26, 2021, 3:38 p.m.
Last Update Nov. 21, 2024, 10:51 a.m.
CVSS3.1 : CRITICAL
スコア 9.8
Vector CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃に必要な特権レベル(PR) 不要
利用者の関与(UI) 不要
影響の想定範囲(S) 変更なし
機密性への影響(C)
完全性への影響(I)
可用性への影響(A)
CVSS2.0 : HIGH
Score 9.3
Vector AV:N/AC:M/Au:N/C:C/I:C/A:C
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃前の認証要否(Au) 不要
機密性への影響(C)
完全性への影響(I)
可用性への影響(A)
Get all privileges. いいえ
Get user privileges いいえ
Get other privileges いいえ
User operation required いいえ
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:apache:archiva:1.2.2:*:*:*:*:*:*:*
cpe:2.3:a:apache:archiva:1.2:-:*:*:*:*:*:*
cpe:2.3:a:apache:struts:*:*:*:*:*:*:*:* 2.0.0 2.3.15
cpe:2.3:a:apache:archiva:*:*:*:*:*:*:*:* 1.3 1.3.8
Configuration2 or higher or less more than less than
cpe:2.3:a:fujitsu:interstage_business_process_manager_analytics:12.0:*:*:*:*:*:*:*
execution environment
1 cpe:2.3:o:microsoft:windows_server_2003:-:*:*:*:*:*:*:*
2 cpe:2.3:o:microsoft:windows_server_2008:-:*:*:*:*:*:*:*
3 cpe:2.3:o:redhat:enterprise_linux:*:*:*:*:*:*:*:*
Configuration3 or higher or less more than less than
cpe:2.3:a:fujitsu:interstage_business_process_manager_analytics:12.1:*:*:*:*:*:*:*
execution environment
1 cpe:2.3:a:oracle:solaris:11:*:*:*:*:*:*:*
2 cpe:2.3:o:microsoft:windows_server_2003:-:*:*:*:*:*:*:*
3 cpe:2.3:o:microsoft:windows_server_2008:-:*:*:*:*:*:*:*
4 cpe:2.3:o:microsoft:windows_server_2012:-:*:*:*:*:*:*:*
5 cpe:2.3:o:redhat:enterprise_linux:*:*:*:*:*:*:*:*
Configuration4 or higher or less more than less than
cpe:2.3:o:fujitsu:gp7000f_firmware:-:*:*:*:*:*:*:*
execution environment
1 cpe:2.3:h:fujitsu:gp7000f:-:*:*:*:*:*:*:*
Configuration5 or higher or less more than less than
cpe:2.3:o:fujitsu:primepower_firmware:-:*:*:*:*:*:*:*
execution environment
1 cpe:2.3:h:fujitsu:primepower:-:*:*:*:*:*:*:*
Configuration6 or higher or less more than less than
cpe:2.3:o:fujitsu:gp-s_firmware:-:*:*:*:*:*:*:*
execution environment
1 cpe:2.3:h:fujitsu:gp-s:-:*:*:*:*:*:*:*
Configuration7 or higher or less more than less than
cpe:2.3:o:fujitsu:primergy_firmware:-:*:*:*:*:*:*:*
execution environment
1 cpe:2.3:h:fujitsu:primergy:-:*:*:*:*:*:*:*
Configuration8 or higher or less more than less than
cpe:2.3:o:fujitsu:gp5000_firmware:-:*:*:*:*:*:*:*
execution environment
1 cpe:2.3:h:fujitsu:gp5000:-:*:*:*:*:*:*:*
Configuration9 or higher or less more than less than
cpe:2.3:o:fujitsu:sparc_firmware:-:*:*:*:*:*:*:*
execution environment
1 cpe:2.3:h:fujitsu:sparc:-:*:*:*:*:*:*:*
Configuration10 or higher or less more than less than
cpe:2.3:a:oracle:siebel_apps_-_e-billing:6.1.1:*:*:*:*:*:*:*
cpe:2.3:a:oracle:siebel_apps_-_e-billing:6.2:*:*:*:*:*:*:*
cpe:2.3:a:oracle:siebel_apps_-_e-billing:6.1:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List
JVN Vulnerability Information
Apache Struts において任意のコマンドを実行される脆弱性
Title Apache Struts において任意のコマンドを実行される脆弱性
Summary

Apache Struts には、任意のコマンドを実行される脆弱性が存在します。 Apache Software Foundation が提供する Apache Struts は、Java のウェブアプリケーションを作成するためのソフトウェアフレームワークです。Apache Struts には、任意のコマンドを実行される脆弱性が存在します。 本件は、7月16日に開発者が公開した S2-016 の脆弱性と同じものです。 なお、本脆弱性を使用した攻撃活動が確認されています。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 三井物産セキュアディレクション株式会社 寺田 健 氏

Possible impacts Apache Struts が設置されているサーバ上で任意のコマンドを実行される可能性があります。
Solution

[アップデートする] 開発者が提供する情報をもとに最新版へアップデートしてください。
Publication Date July 9, 2013, midnight
Registration Date July 23, 2013, 2:04 p.m.
Last Update Aug. 11, 2015, 3:15 p.m.
Affected System
Apache Software Foundation
Apache Struts 2.0.0 から 2.3.15 まで
オラクル
MySQL Enterprise Monitor 2.3.13 およびそれ以前
Oracle Financial Services Software の Oracle FLEXCUBE Private Banking 1.7
Oracle Financial Services Software の Oracle FLEXCUBE Private Banking 12.0.1
Oracle Financial Services Software の Oracle FLEXCUBE Private Banking 2.0
Oracle Financial Services Software の Oracle FLEXCUBE Private Banking 2.0.1
Oracle Financial Services Software の Oracle FLEXCUBE Private Banking 2.2.0.1
Oracle Financial Services Software の Oracle FLEXCUBE Private Banking 3.0
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
0 [2013年07月23日]
  掲載
[2013年07月30日]
  CVSS による深刻度:内容を更新
[2013年09月06日]
  JVN#33504150 にあわせ、タイトル、概要、想定される影響、対策を更新
  CVSS、CWE を IPA 値に変更
  影響を受けるシステム:内容を更新
  ベンダ情報:富士通 (Interstage Business Process Manager Analytics: 任意のコード実行の脆弱性(CVE-2013-2248, CVE-2013-2251) (2013年9月4日)) を追加
[2013年10月23日]
  影響を受けるシステム:オラクル (Oracle Critical Patch Update Advisory - October 2013) の情報を追加
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - October 2013) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - October 2013 Risk Matrices) を追加
  ベンダ情報:オラクル (October 2013 Critical Patch Update Released) を追加
[2013年11月12日]
  ベンダ情報:シスコシステムズ (cisco-sa-20131023-struts2) を追加
  ベンダ情報:シスコシステムズ (30128) を追加
[2014年06月26日]
  ベンダ情報:IBM (1670064) を追加
  ベンダ情報:IBM (1667890) を追加
[2015年07月29日]
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - July 2015) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - July 2015 Risk Matrices) を追加
  ベンダ情報:オラクル (July 2015 Critical Patch Update Released) を追加
[2015年08月11日]
  ベンダ情報:Apache Software Foundation (CVE-2013-2251: Apache Archiva Remote Command Execution) を追加		 Feb. 17, 2018, 10:37 a.m.