CH azonosító
CH-14217Angol cím
Apache Struts vulnerabilitiesFelfedezés dátuma
2017.09.04.Súlyosság
KritikusÉrintett rendszerek
Apache Software FoundationApache Struts
Érintett verziók
Apache Struts 2.3.7 - 2.3.33, 2.5 - 2.5.12
Összefoglaló
Az Apache Struts egy kritikus, egy közepes és egy alacsony kockázati besorolású sérülékenysége vált ismertté, amelyek a gyártó által kiadott legújabb biztonsági frissítéssel kiküszöbölhetők.
Leírás
Az XStream kezelővel használt REST Plugin hibáját kihasználva a támadónak lehetősége van tetszőleges kódot futtatni a célrendszeren, amikor a program az XML adatok deszerializálását végzi. [CVE-2017-9805] – Kritikus
A távoli felhasználók speciálisan kialakított XML adatokat küldhetnek a REST Plugin elavult XStream könyvtárába, ezáltal ott hiba generálódik, amellyel szolgáltatás-megtagadás (DoS) idézhető elő. [CVE-2017-9793] – Közepes
Amennyiben egy beépített URLValidator-ral használt alkalmazás engedélyezi az URL-ek form mezőbe illesztését, egy speciálisan megszerkesztett URL segítségével a kiszolgáló túlterhelése érhető el, és ezzel szolgáltatás-megtagadás idézhető elő. [CVE-2017-9804] – Alacsony
Megoldás
Frissítsen a legújabb verzióraMegoldás
A hibák a következő verziókban javításra kerültek: 2.3.34, 2.5.13
Támadás típusa
Deny of service (Szolgáltatás megtagadás)execute arbitrary code
Hatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: struts.apache.org
Gyártói referencia: struts.apache.org
Gyártói referencia: struts.apache.org
CVE-2017-9805 - NVD CVE-2017-9805
CVE-2017-9793 - NVD CVE-2017-9793
CVE-2017-9804 - NVD CVE-2017-9804