CH azonosító
CH-13192Angol cím
Apache Struts vulnerabilitiesFelfedezés dátuma
2016.04.24.Súlyosság
KözepesÖsszefoglaló
Az Apache a Struts kapcsán sérülékenységekről számolt be. A feltárt rendellenességek jogosulatlan távoli művelet végrehajtást és kódfuttatást is elősegíthetnek.
Leírás
Az egyik biztonsági hiba a ‘method:’ prefix kezelése kapcsán merült fel.
A másik sérülékenység pedig stílusokhoz kötődő, speciálisan összeállított paraméterekkel válhat kihasználhatóvá.
Mindkét sebezhetőség tetszőleges kódokkal történő visszaélésekre adhat módot.
Megoldás
Az alábbi verziók már nem tartalmazzák a fenti sérülékenységeket:
2.3.20.2
2.3.24.2
2.3.28.1
Támadás típusa
System access (Rendszer hozzáférés)execute code
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: struts.apache.org
Egyéb referencia: isbk.hu
CVE-2016-3081 - NVD CVE-2016-3081
CVE-2016-3082 - NVD CVE-2016-3082
