NVD Vulnerability Detail

CVE-2014-0116

Summary	CookieInterceptor in Apache Struts 2.x before 2.3.20, when a wildcard cookiesName value is used, does not properly restrict access to the getClass method, which allows remote attackers to "manipulate" the ClassLoader and modify session state via a crafted request. NOTE: this vulnerability exists because of an incomplete fix for CVE-2014-0113.
Publication Date	May 8, 2014, 7:55 p.m.
Registration Date	Jan. 26, 2021, 3:04 p.m.
Last Update	Nov. 21, 2024, 11:01 a.m.

CVSS2.0 : MEDIUM
Score	5.8
Vector	AV:N/AC:M/Au:N/C:N/I:P/A:P
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	中
攻撃前の認証要否(Au)	不要
機密性への影響(C)	なし
完全性への影響(I)	低
可用性への影響(A)	低
Get all privileges.	いいえ
Get user privileges	いいえ
Get other privileges	いいえ
User operation required	いいえ

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:apache:struts:2.3.1.1:::::::*
cpe:2.3:a:apache:struts:2.0.9:::::::*
cpe:2.3:a:apache:struts:2.0.12:::::::*
cpe:2.3:a:apache:struts:2.2.3.1:::::::*
cpe:2.3:a:apache:struts:2.1.0:::::::*
cpe:2.3:a:apache:struts:2.3.15:::::::*
cpe:2.3:a:apache:struts:2.0.0:::::::*
cpe:2.3:a:apache:struts:2.3.14:::::::*
cpe:2.3:a:apache:struts:2.0.8:::::::*
cpe:2.3:a:apache:struts:2.0.7:::::::*
cpe:2.3:a:apache:struts:2.0.4:::::::*
cpe:2.3:a:apache:struts:2.2.1:::::::*
cpe:2.3:a:apache:struts:2.3.16:::::::*
cpe:2.3:a:apache:struts:2.1.8.1:::::::*
cpe:2.3:a:apache:struts:2.3.3:::::::*
cpe:2.3:a:apache:struts:2.3.4:::::::*
cpe:2.3:a:apache:struts:2.1.3:::::::*
cpe:2.3:a:apache:struts:2.1.2:::::::*
cpe:2.3:a:apache:struts:2.1.5:::::::*
cpe:2.3:a:apache:struts:2.0.1:::::::*
cpe:2.3:a:apache:struts:2.3.15.2:::::::*
cpe:2.3:a:apache:struts:2.3.14.3:::::::*
cpe:2.3:a:apache:struts:2.0.2:::::::*
cpe:2.3:a:apache:struts:2.1.8:::::::*
cpe:2.3:a:apache:struts:2.3.4.1:::::::*
cpe:2.3:a:apache:struts:2.0.11.1:::::::*
cpe:2.3:a:apache:struts:2.3.8:::::::*
cpe:2.3:a:apache:struts:2.3.7:::::::*
cpe:2.3:a:apache:struts:2.0.3:::::::*
cpe:2.3:a:apache:struts:2.3.14.2:::::::*
cpe:2.3:a:apache:struts:2.0.14:::::::*
cpe:2.3:a:apache:struts:2.3.15.1:::::::*
cpe:2.3:a:apache:struts:2.3.1:::::::*
cpe:2.3:a:apache:struts:2.0.11:::::::*
cpe:2.3:a:apache:struts:2.3.16.2:::::::*
cpe:2.3:a:apache:struts:2.1.6:::::::*
cpe:2.3:a:apache:struts:2.0.5:::::::*
cpe:2.3:a:apache:struts:2.2.3:::::::*
cpe:2.3:a:apache:struts:2.3.12:::::::*
cpe:2.3:a:apache:struts:2.1.4:::::::*
cpe:2.3:a:apache:struts:2.2.1.1:::::::*
cpe:2.3:a:apache:struts:2.0.11.2:::::::*
cpe:2.3:a:apache:struts:2.0.13:::::::*
cpe:2.3:a:apache:struts:2.3.1.2:::::::*
cpe:2.3:a:apache:struts:2.3.15.3:::::::*
cpe:2.3:a:apache:struts:2.3.16.1:::::::*
cpe:2.3:a:apache:struts:2.1.1:::::::*
cpe:2.3:a:apache:struts:2.0.6:::::::*
cpe:2.3:a:apache:struts:2.0.10:::::::*
cpe:2.3:a:apache:struts:2.3.14.1:::::::*

Related information, measures and tools

No	URL	refsource	タグ
1	http://secunia.com/advisories/59816
2	http://secunia.com/advisories/59816
3	http://struts.apache.org/release/2.3.x/docs/s2-022.html
4	http://struts.apache.org/release/2.3.x/docs/s2-022.html
5	http://www.huawei.com/en/security/psirt/security-bulletins/security-advisories/hw-350733.htm
6	http://www.huawei.com/en/security/psirt/security-bulletins/security-advisories/hw-350733.htm
7	http://www.oracle.com/technetwork/topics/security/cpuapr2015-2365600.html
8	http://www.oracle.com/technetwork/topics/security/cpuapr2015-2365600.html
9	http://www.securityfocus.com/bid/67218
10	http://www.securityfocus.com/bid/67218

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-264	認可・権限・アクセス制御	https://cwe.mitre.org/data/definitions/264.html

JVN Vulnerability Information

Apache Struts の CookieInterceptor における ClassLoader を操作される脆弱性

Title	Apache Struts の CookieInterceptor における ClassLoader を操作される脆弱性
Summary	Apache Struts の CookieInterceptor は、ワイルドカードの cookiesName が使用されている場合、getClass メソッドへのアクセスを適切に制限しないため、ClassLoader を "操作" され、セッション状態を変更される脆弱性が存在します。本脆弱性は、CVE-2014-0113 に対する修正が不十分だったことによる脆弱性です。
Possible impacts	第三者により、巧妙に細工されたリクエストを介して、ClassLoader を "操作" され、セッション状態を変更される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 5, 2014, midnight
Registration Date	May 9, 2014, 12:22 p.m.
Last Update	Aug. 2, 2016, 5:34 p.m.

Affected System

Apache Software Foundation

Apache Struts 2.3.16.3 未満の 2.x

オラクル

MySQL Enterprise Monitor 2.3.16 およびそれ以前

MySQL Enterprise Monitor 3.0.10 およびそれ以前

IBM

IBM Connections 3.0.1.1 およびそれ以前

IBM Connections 4.0

IBM Connections 4.5

IBM Connections 5.0

日本電気

ESMPRO/ServerManager Ver5.75 およびそれ以前

InfoCage PCセキュリティ

InfoCage セキュリティリスク管理 V1.0.0 から V2.1.3

WebOTX Enterprise Edition V5.1 から V5.2

WebOTX Enterprise Edition V6.1 から V6.5

WebOTX RFID Manager Enterprise V7.1

WebOTX RFID Manager Lite V2.0

WebOTX RFID Manager Standard V2.0

WebOTX Standard Edition V5.1 から V5.2

WebOTX Standard Edition V6.1 から V6.5

WebOTX Standard-J Edition V5.1 から V5.2

WebOTX Standard-J Edition V6.1 から V6.5

WebOTX Web Edition V5.1 から V5.2

WebOTX Web Edition V6.1 から V6.5

WebOTX Application Server V7.1

WebOTX Developer V8.2 から V8.4 (with Developer's Studio のみ)

WebOTX Developer V9.1 から V9.2 (with Developer's Studio のみ)

WebOTX Portal V8.3 から V8.4

WebOTX Portal V9.1

富士通

FUJITSU Integrated System HA Database Ready

Interstage Business Analytics Modeling Server

Interstage Business Process Manager Analytics

Interstage eXtreme Transaction Processing Server

Interstage Mobile Manager

Interstage Application Development Cycle Manager

Interstage Application Framework Suite

Interstage Application Server

Interstage Apworks

Interstage Business Application Server

Interstage Job Workload Server

Interstage Service Integrator

Interstage Studio

ServerView Resource Orchestrator

Symfoware Analytics Server

Symfoware Server

Systemwalker Service Catalog Manager

Systemwalker Service Quality Coordinator

Systemwalker Software Configuration Manager

TRIOLE クラウドミドルセット Bセット

クラウドインフラマネージメントソフトウェア

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2014-0116	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0116
National Vulnerability Database (NVD)
2	CVE-2014-0116	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0116
富士通セキュリティ情報
3	CVE-2014-0094 他に関する影響	http://software.fujitsu.com/jp/security/vulnerabilities/cve2014-0094-0114.html

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-264	https://jvndb.jvn.jp/ja/cwe/CWE-264.html

ベンダー情報

No	Name	URL
IBM Support Document
1	1680848	http://www-01.ibm.com/support/docview.wss?uid=swg21680848
IBM セキュリティー情報
2	1681190	http://www-01.ibm.com/support/docview.wss?uid=swg21681190
NEC製品セキュリティ情報
3	NV15-001	http://jpn.nec.com/security-info/secinfo/nv15-001.html
Oracle Critical Patch Update
4	Oracle Critical Patch Update Advisory - April 2015	http://www.oracle.com/technetwork/topics/security/cpuapr2015-2365600.html
5	Text Form of Oracle Critical Patch Update - April 2015 Risk Matrices	http://www.oracle.com/technetwork/topics/security/cpuapr2015verbose-2365613.html
Red Hat Bugzilla
6	Bug 1094558	https://bugzilla.redhat.com/show_bug.cgi?id=1094558
Security Advisory
7	Huawei-SA-20140707-01-Struts2	http://www.huawei.com/en/security/psirt/security-bulletins/security-advisories/hw-350733.htm
SECURITY BLOG
8	April 2015 Critical Patch Update Released	https://blogs.oracle.com/security/entry/april_2015_critical_patch_update
Security Bulletins
9	S2-022	http://struts.apache.org/release/2.3.x/docs/s2-022.html
富士通セキュリティ情報
10	FUJITSU Integrated System HA Database Ready: Struts2の脆弱性(CVE-2014-0094,CVE-2014-0112,CVE-2014-0113,CVE-2014-0116) (2014年6月19日)	http://software.fujitsu.com/jp/security/products-fujitsu/solution/ha_db_ready_201401.html
11	Symfoware Server（Openインタフェース）: Strutsの脆弱性(CVE-2014-0094, CVE-2014-0112, CVE-2014-0113, CVE-2014-0116) (2014年6月2日)	http://software.fujitsu.com/jp/security/products-fujitsu/solution/symfoware_201402.html

Change Log

No	Changed Details	Date of change
0	[2014年05月09日] 掲載 [2014年05月20日] 影響を受けるシステム：富士通 (CVE-2014-0094 他に関する影響) の情報を追加ベンダ情報：富士通 (CVE-2014-0094 他に関する影響) を追加 [2014年06月03日] ベンダ情報：富士通 (Symfoware Server（Openインタフェース）: Strutsの脆弱性(CVE-2014-0094, CVE-2014-0112, CVE-2014-0113, CVE-2014-0116) (2014年6月2日)) を追加 [2014年06月23日] ベンダ情報：富士通 (FUJITSU Integrated System HA Database Ready: Struts2の脆弱性(CVE-2014-0094,CVE-2014-0112,CVE-2014-0113,CVE-2014-0116) (2014年6月19日)) を追加 [2014年08月06日] ベンダ情報：Huawei (Huawei-SA-20140707-01-Struts2) を追加 [2014年09月02日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：IBM (1680848) を追加ベンダ情報：IBM (1681190) を追加 [2015年01月21日] ベンダ情報：日本電気 (NV15-001) を追加 [2015年04月20日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - April 2015) を追加ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - April 2015 Risk Matrices) を追加ベンダ情報：オラクル (April 2015 Critical Patch Update Released) を追加 [2015年06月23日] 影響を受けるシステム：内容を更新 [2016年08月02日] 影響を受けるシステム：ベンダ情報の更新に伴い内容を更新	Feb. 17, 2018, 10:37 a.m.

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:apache:struts:2.3.1.1:::::::*
cpe:2.3:a:apache:struts:2.0.9:::::::*
cpe:2.3:a:apache:struts:2.0.12:::::::*
cpe:2.3:a:apache:struts:2.2.3.1:::::::*
cpe:2.3:a:apache:struts:2.1.0:::::::*
cpe:2.3:a:apache:struts:2.3.15:::::::*
cpe:2.3:a:apache:struts:2.0.0:::::::*
cpe:2.3:a:apache:struts:2.3.14:::::::*
cpe:2.3:a:apache:struts:2.0.8:::::::*
cpe:2.3:a:apache:struts:2.0.7:::::::*
cpe:2.3:a:apache:struts:2.0.4:::::::*
cpe:2.3:a:apache:struts:2.2.1:::::::*
cpe:2.3:a:apache:struts:2.3.16:::::::*
cpe:2.3:a:apache:struts:2.1.8.1:::::::*
cpe:2.3:a:apache:struts:2.3.3:::::::*
cpe:2.3:a:apache:struts:2.3.4:::::::*
cpe:2.3:a:apache:struts:2.1.3:::::::*
cpe:2.3:a:apache:struts:2.1.2:::::::*
cpe:2.3:a:apache:struts:2.1.5:::::::*
cpe:2.3:a:apache:struts:2.0.1:::::::*
cpe:2.3:a:apache:struts:2.3.15.2:::::::*
cpe:2.3:a:apache:struts:2.3.14.3:::::::*
cpe:2.3:a:apache:struts:2.0.2:::::::*
cpe:2.3:a:apache:struts:2.1.8:::::::*
cpe:2.3:a:apache:struts:2.3.4.1:::::::*
cpe:2.3:a:apache:struts:2.0.11.1:::::::*
cpe:2.3:a:apache:struts:2.3.8:::::::*
cpe:2.3:a:apache:struts:2.3.7:::::::*
cpe:2.3:a:apache:struts:2.0.3:::::::*
cpe:2.3:a:apache:struts:2.3.14.2:::::::*
cpe:2.3:a:apache:struts:2.0.14:::::::*
cpe:2.3:a:apache:struts:2.3.15.1:::::::*
cpe:2.3:a:apache:struts:2.3.1:::::::*
cpe:2.3:a:apache:struts:2.0.11:::::::*
cpe:2.3:a:apache:struts:2.3.16.2:::::::*
cpe:2.3:a:apache:struts:2.1.6:::::::*
cpe:2.3:a:apache:struts:2.0.5:::::::*
cpe:2.3:a:apache:struts:2.2.3:::::::*
cpe:2.3:a:apache:struts:2.3.12:::::::*
cpe:2.3:a:apache:struts:2.1.4:::::::*
cpe:2.3:a:apache:struts:2.2.1.1:::::::*
cpe:2.3:a:apache:struts:2.0.11.2:::::::*
cpe:2.3:a:apache:struts:2.0.13:::::::*
cpe:2.3:a:apache:struts:2.3.1.2:::::::*
cpe:2.3:a:apache:struts:2.3.15.3:::::::*
cpe:2.3:a:apache:struts:2.3.16.1:::::::*
cpe:2.3:a:apache:struts:2.1.1:::::::*
cpe:2.3:a:apache:struts:2.0.6:::::::*
cpe:2.3:a:apache:struts:2.0.10:::::::*
cpe:2.3:a:apache:struts:2.3.14.1:::::::*