中危 websphere_application_server 安全绕过漏洞

CVE编号

CVE-2010-3700

利用情况

暂无

补丁情况

官方补丁

披露时间

2010-10-30

漏洞描述

VMware SpringSource Spring Security 2.x before 2.0.6 and 3.x before 3.0.4, and Acegi Security 1.0.0 through 1.0.7, as used in IBM WebSphere Application Server (WAS) 6.1 and 7.0, allows remote attackers to bypass security constraints via a path parameter.

解决建议

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：http://www.securityfocus.com/archive/1/514517

参考链接
http://osvdb.org/68931
http://secunia.com/advisories/42024
http://www.securityfocus.com/archive/1/514517/100/0/threaded
http://www.securityfocus.com/bid/44496
http://www.springsource.com/security/cve-2010-3700
https://issues.apache.org/bugzilla/show_bug.cgi?id=25015

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	acegisecurity	acegi-security	1.0.0	-
	运行在以下环境
	应用	acegisecurity	acegi-security	1.0.1	-
	运行在以下环境
	应用	acegisecurity	acegi-security	1.0.2	-
	运行在以下环境
	应用	acegisecurity	acegi-security	1.0.3	-
	运行在以下环境
	应用	acegisecurity	acegi-security	1.0.4	-
	运行在以下环境
	应用	acegisecurity	acegi-security	1.0.5	-
	运行在以下环境
	应用	acegisecurity	acegi-security	1.0.6	-
	运行在以下环境
	应用	acegisecurity	acegi-security	1.0.7	-
	运行在以下环境
	应用	ibm	websphere_application_server	6.1	-
	运行在以下环境
	应用	ibm	websphere_application_server	7.0	-
	运行在以下环境
	应用	vmware	springsource_spring_security	2.0.0	-
	运行在以下环境
	应用	vmware	springsource_spring_security	2.0.1	-
	运行在以下环境
	应用	vmware	springsource_spring_security	2.0.2	-
	运行在以下环境
	应用	vmware	springsource_spring_security	2.0.3	-
	运行在以下环境
	应用	vmware	springsource_spring_security	2.0.4	-
	运行在以下环境
	应用	vmware	springsource_spring_security	2.0.5	-
	运行在以下环境
	应用	vmware	springsource_spring_security	3.0.0	-
	运行在以下环境
	应用	vmware	springsource_spring_security	3.0.1	-
	运行在以下环境
	应用	vmware	springsource_spring_security	3.0.2	-
	运行在以下环境
	应用	vmware	springsource_spring_security	3.0.3	-

阿里云评分 4.5

• 攻击路径 本地
• 攻击复杂度 困难
• 权限要求 管控权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 N/A

CWE-ID	漏洞类型
CWE-264	权限、特权和访问控制

Exp相关链接

- avd.aliyun.com