Apache Struts sérülékenységek
Angol cím: 
Apache Struts vulnerabilities
CERT-Hungary ID: 
CH-14316
Felfedezés dátuma: 
2017-12-01
Összefoglaló: 

Az Apache Struts legújabb verziójában  olyan biztonsági sebezhetőségeket javítottak, amelyeket kihasználva egy támadó - módosított JSON fájl segítségével - szolgáltatás-megtagadásos támadást tud végrehajtani, valamint lehetősége nyílhat tetszőleges kód futtatására.


Leírás: 

Az Apache Struts  2.5.14.1 verziójában két biztonsági sebezhetőséget javítottak. Az első esetben rosszindulatú JSON fájlokkal szolgáltatás-megtagadásos támadást lehet végrehajtani. A második sebezhetőség az ObjectMapper readValue() függvényét érinti, melynek kihasználásával távolról is lehetséges tetszőleges kódot futtatni a célrendszeren.

Megoldás: 
Frissítsen a legújabb verzióra
Megoldás: 
Érintett verziók: 
Apache Struts 2.5 - 2.5.14