Выполнение произвольного кода в Apache Camel

Дата публикации:
01.10.2013
Дата изменения:
01.10.2013
Всего просмотров:
1929
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
(AV:N/AC:H/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:7.6/Temporal:5.6
CVE ID:
CVE-2013-4330
Вектор эксплуатации:
Удаленная
Воздействие:
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Apache Camel 2.x
Уязвимые версии: Apache Camel версии 2.9.0 по 2.9.7, 2.10.0 по 2.10.6, 2.11.0 по 2.11.1 и 2.12.0

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

Уязвимость существует из-за ошибки при обработке простых языковых выражений ($simple) в классе "GenericFileProducer<T>" в файле java/org/apache/camel/component/file/GenericFileProducer.java. Удаленный пользователь может с помощью специально сформированного имени файла выполнить произвольный Java код на целевой системе.

URL производителя: camel.apache.org

Решение: Установите последнюю версию 2.9.8, 2.10.7, 2.11.2 или 2.12.1 с сайта производителя.

Ссылки: http://camel.apache.org/security-advisories.data/CVE-2013-4330.txt.asc?version=1&modificationDate=1380535446943

или введите имя

CAPTCHA