ID CVE-2018-1327
Summary The Apache Struts REST Plugin is using XStream library which is vulnerable and allow perform a DoS attack when using a malicious request with specially crafted XML payload. Upgrade to the Apache Struts version 2.5.16 and switch to an optional Jackson XML handler as described here http://struts.apache.org/plugins/rest/#custom-contenttypehandlers. Another option is to implement a custom XML handler based on the Jackson XML handler from the Apache Struts 2.5.16.
References
Vulnerable Configurations
  • cpe:2.3:a:apache:struts:2.1.1:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.1.1:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.1.2:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.1.2:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.1.3:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.1.3:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.1.4:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.1.4:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.1.5:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.1.5:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.1.6:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.1.6:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.1.7:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.1.7:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.1.8:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.1.8:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.1.8.1:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.1.8.1:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.2.1:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.2.1:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.2.1.1:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.2.1.1:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.2.3:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.2.3:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.2.3.1:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.2.3.1:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.1:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.1:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.1.1:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.1.1:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.1.2:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.1.2:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.3:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.3:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.4:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.4:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.4.1:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.4.1:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.5:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.5:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.6:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.6:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.7:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.7:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.8:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.8:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.9:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.9:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.10:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.10:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.11:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.11:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.12:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.12:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.13:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.13:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.14:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.14:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.14.1:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.14.1:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.14.2:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.14.2:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.14.3:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.14.3:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.15:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.15:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.15.1:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.15.1:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.15.2:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.15.2:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.15.3:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.15.3:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.16:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.16:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.16.1:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.16.1:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.16.2:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.16.2:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.16.3:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.16.3:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.17:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.17:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.19:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.19:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.20:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.20:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.20.1:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.20.1:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.20.2:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.20.2:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.20.3:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.20.3:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.21:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.21:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.22:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.22:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.23:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.23:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.24:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.24:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.24.1:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.24.1:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.24.2:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.24.2:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.24.3:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.24.3:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.25:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.25:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.26:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.26:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.27:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.27:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.28:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.28:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.28.1:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.28.1:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.29:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.29:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.30:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.30:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.31:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.31:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.32:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.32:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.33:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.33:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.34:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.3.34:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.5:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.5:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.5:beta1:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.5:beta1:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.5:beta2:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.5:beta2:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.5:beta3:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.5:beta3:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.5.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.5.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.5.1:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.5.1:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.5.2:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.5.2:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.5.3:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.5.3:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.5.4:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.5.4:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.5.5:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.5.5:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.5.6:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.5.6:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.5.7:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.5.7:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.5.8:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.5.8:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.5.9:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.5.9:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.5.10:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.5.10:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.5.10.1:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.5.10.1:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.5.11:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.5.11:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.5.12:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.5.12:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.5.13:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.5.13:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.5.14:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.5.14:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.5.14.1:*:*:*:*:*:*:*
    cpe:2.3:a:apache:struts:2.5.14.1:*:*:*:*:*:*:*
CVSS
Base: 5.0 (as of 08-12-2020 - 05:15)
Impact:
Exploitability:
CWE NVD-CWE-noinfo
CAPEC
Access
VectorComplexityAuthentication
NETWORK LOW NONE
Impact
ConfidentialityIntegrityAvailability
NONE NONE PARTIAL
cvss-vector via4 AV:N/AC:L/Au:N/C:N/I:N/A:P
refmap via4
bid 103516
confirm
misc https://cwiki.apache.org/confluence/display/WW/S2-056
mlist
  • [struts-issues] 20201207 [jira] [Created] (WW-5105) Tracking the fix commit of CVE-2005-3745 and CVE-2018-1327
  • [struts-issues] 20201207 [jira] [Updated] (WW-5105) Tracking the fix commit of CVE-2005-3745 and CVE-2018-1327
sectrack 1040575
Last major update 08-12-2020 - 05:15
Published 27-03-2018 - 21:29
Last modified 08-12-2020 - 05:15
Back to Top