CVE-2010-1870— Apache Atlassian Fisheye Struts Xwork设计错误漏洞
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2010-1870の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
N/A
ソース: NVD (National Vulnerability Database)
脆弱性説明
The OGNL extensive expression evaluation capability in XWork in Struts 2.0.0 through 2.1.8.1, as used in Atlassian Fisheye, Crucible, and possibly other products, uses a permissive whitelist, which allows remote attackers to modify server-side context objects and bypass the "#" protection mechanism in ParameterInterceptors via the (1) #context, (2) #_memberAccess, (3) #root, (4) #this, (5) #_typeResolver, (6) #_classResolver, (7) #_traceEvaluations, (8) #_lastEvaluation, (9) #_keepLastEvaluation, and possibly other OGNL context variables, a different vulnerability than CVE-2008-6504.
ソース: NVD (National Vulnerability Database)
CVSS情報
N/A
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
N/A
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
Apache Atlassian Fisheye Struts Xwork设计错误漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
XWork是一个命令模式框架,用于支持Struts 2及其他应用。 在Atlassian Fisheye,Crucible和其他产品中使用的Struts 2.0.0至2.1.8.1版本中的Xwork中的OGNL表达式赋值功能使用许可的白名单,远程攻击者可以借助(1)#context,(2)#_memberAccess,(3)#root,(4)#this,(5)#_typeResolver,(6)#_classResolver,(7)#_traceEvaluations,(8)#_lastEvaluatio
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
影響を受ける製品
| ベンダー | プロダクト | 影響を受けるバージョン | CPE | 購読 |
|---|---|---|---|---|
| - | n/a | n/a | - |
II. CVE-2010-1870の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|---|---|---|
| 1 | A struts-based OGNL remote code execution vulnerability exists in ListSERV Maestro before and including version 9.0-8. | https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2010/CVE-2010-1870.yaml | POC詳細 |
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2010-1870のインテリジェンス情報
お願いします ログイン より多くのインテリジェンス情報を見る
- http://struts.apache.org/2.2.1/docs/s2-005.htmlx_refsource_CONFIRM
- https://nvd.nist.gov/vuln/detail/CVE-2010-1870
Same Patch Batch · n/a · 2010-08-17 · 17 CVEs total
| CVE-2009-3737 | Oracle Siebel Option Pack代码注入漏洞 | |
| CVE-2010-0126 | Autonomy KeyView缓冲区溢出漏洞 | |
| CVE-2010-0131 | Autonomy KeyView 'wkssr.dll'缓冲区溢出漏洞 | |
| CVE-2010-0133 | Autonomy KeyView 'wkssr.dll'缓冲区溢出漏洞 | |
| CVE-2010-0134 | Autonomy KeyView 'rtfsr.dll'数字错误漏洞 | |
| CVE-2010-0135 | Autonomy KeyView 'wosr.dll'缓冲区溢出漏洞 | |
| CVE-2010-1524 | Autonomy KeyView 'wkssr.dll'缓冲区溢出漏洞 | |
| CVE-2010-1525 | Autonomy KeyView 'wkssr.dll'数字错误漏洞 | |
| CVE-2010-2241 | Red Hat目录服务器'setup-ds.pl'和'setup-ds-admin.pl'权限许可和访问控制漏洞 | |
| CVE-2010-2939 | OpenSSL 资源管理错误漏洞 | |
| CVE-2010-3030 | Tomaz Muraus Open Blog跨站请求伪造漏洞 | |
| CVE-2010-3031 | Wyse ThinOS HF缓冲区溢出漏洞 | |
| CVE-2010-3032 | SAP Crystal Reports 'ebus-3-3-2-6.dll'模块数字错误漏洞 | |
| CVE-2010-1516 | SWFTools 'lib/png.c'和'lib/jpeg.c'数字错误漏洞 | |
| CVE-2010-2812 | ZNC 'Client.cpp'输入验证漏洞 | |
| CVE-2010-2934 | ZNC 多个未明漏洞 |
IV. 関連脆弱性
同じベンダー: n/a
- CVE-2026-8226
Open5GS types.c ogs_pcc_rule_install_flow_from_media denial - CVE-2026-8225
Open5GS delete Endpoint sm-sm.c pcf_npcf_smpolicycontrol_han - CVE-2026-8224
Open5GS PCF context.c pcf_sess_set_ipv6prefix denial of serv - CVE-2026-8223
Open5GS sm-policies Endpoint pcf_sess_sbi_discover_and_send - CVE-2026-8222
Open5GS sm-policies Endpoint nbsf-handler.c pcf_nbsf_managem
V. CVE-2010-1870へのコメント
まだコメントはありません