Apache Struts sérülékenység
Angol cím: 
Apache Struts commons-fileupload Library DiskFileItem File Manipulation Arbitrary Code Execution Vulnerability
CERT-Hungary ID: 
CH-14516
Felfedezés dátuma: 
2018-11-05
Összefoglaló: 

Az Apache Struts egy magas besorolású sérülékenységét fedezték fel, amit kihasználva a támadók módosításokat hajthatnak végre a rendszeren, vagy akár tetszőleges kódot is futtathatnak azon.

Leírás: 

A sérülékenység az Apache Commons FileUpload könyvtár DiskFileItem osztályában található, és a felhasználó által feltöltött fájlok nem megfelelő validálása miatt lehet kihasználni. A speciálisan megszerkesztett állományt a hibás szoftver deszerializálja, így a támadónak lehetősége van tetszőleges kódot futtatni a rendszeren.

Megoldás: 
Frissítsen a legújabb verzióra
Érintett verziók: 
Apache Struts 2.3.36 és korábbi kiadásokban lévő Apache Commons FileUpload 1.3.3 előtti verziók
Apache Struts 2.5.18 előtti verziók