CH azonosító
CH-14486Angol cím
Apache Struts 2 VulnerabilitiesFelfedezés dátuma
2018.08.21.Súlyosság
KritikusÉrintett rendszerek
Apache Software FoundationStruts
Érintett verziók
Apache Struts 2.3 és 2.3.34 közötti verziók
Apache Struts 2.5 és 2.5.16 közötti verziók
Összefoglaló
Az Apache Struts 2 olyan kritikus kockázati besorolású sérülékenységét jelentették, amelyet kihasználva a támadók tetszőleges kódot hajthatnak végre.
Leírás
A sérülékenységet akkor lehet kihasználni, ha a válaszhoz (result) nincs namespace meghatározva, ezzel egyidejűleg pedig az ún. upper action-ben szintén nincs, vagy pedig wildcard namespace van beállítva. Egy másik lehetséges kihasználási módszer, ha az “url” tag-nek nincs értéke, de az action be van állítva, valamint az ún. upper action-ben szintén nincs, vagy pedig wildcard namespace van beállítva.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Misconfiguration (Konfiguráció)Unspecified (Nem részletezett)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: cwiki.apache.org
CVE-2018-11776 - NVD CVE-2018-11776