Содержание статьи

Дата релиза: 13 апреля 2017 года
CVE: CVE-2017-5638
Автор: Кшиштоф Вегжинек (Krzysztof Wegrzynek)
 

BRIEF

Уязвимость существует из-за того, что в vCenter используется устаревшая версия фреймворка Apache Struts 2 с уязвимостью парсера сообщений об ошибках. Злоумышленник может отправить специально сформированный HTTP-запрос, который приведет к выполнению произвольного кода с правами веб-сервера.

 

EXPLOIT

Еще одна уязвимость-флешбэк. О самой ошибке и ее причинах я писал в предыдущем обзоре. Советую ознакомиться, а масштаб проблемы тебе поможет оценить securityfocus.com. Обрати внимание на список уязвимых продуктов. Здесь же я затрону только особенности эксплуатации уязвимости в контексте VMware vCenter.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


1 комментарий

  1. Аватар

    Laglag

    02.03.2020 в 18:41

    не въехал…
    id пользователя же вывело…
    не вижу даже хеша пароля

Оставить мнение