Összefoglaló
Az Apache Struts egy újonnan felfedezett sebezhetősége biztonsági megkötések megkerülését segítheti elő.
Leírás
A sérülékenység az “excludeParams” paraméter nem megfelelő kezelésére illetve beállítására vezethető vissza, és befolyással van a “DefaultExcludedPatternsChecker” paraméterre. Emiatt egy távoli támadó felülbírálhat biztonságra is hatással lévő beállításokat, és ezáltal több lehetősége marad károkozásra.
Megoldás
A 2.3.20.1-es verzióra történő frissítés.
Támadás típusa
Security bypass (Biztonsági szabályok megkerülése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: struts.apache.org
Egyéb referencia: isbk.hu
CVE-2015-1831 - NVD CVE-2015-1831