Apache Struts 2 sérülékenység
Angol cím: 
Apache Struts 2 Vulnerabilities
CERT-Hungary ID: 
CH-14486
Felfedezés dátuma: 
2018-08-22
Összefoglaló: 

Az Apache Struts 2 olyan kritikus kockázati besorolású sérülékenységét jelentették, amelyet kihasználva a támadók tetszőleges kódot hajthatnak végre.

Leírás: 

A sérülékenységet akkor lehet kihasználni, ha a válaszhoz (result) nincs namespace meghatározva, ezzel egyidejűleg pedig az ún. upper action-ben szintén nincs, vagy pedig wildcard namespace van beállítva. Egy másik lehetséges kihasználási módszer, ha az "url" tag-nek nincs értéke, de az action be van állítva, valamint az ún. upper action-ben szintén nincs, vagy pedig wildcard namespace van beállítva.

Megoldás: 
Frissítsen a legújabb verzióra
Érintett verziók: 
Apache Struts 2.3 és 2.3.34 közötti verziók
Apache Struts 2.5 és 2.5.16 közötti verziók