Apache Struts sérülékenységei

CH azonosító

CH-14217

Angol cím

Apache Struts vulnerabilities

Felfedezés dátuma

2017.09.04.

Súlyosság

Kritikus

Érintett rendszerek

Apache Software Foundation
Apache Struts

Érintett verziók

Apache Struts 2.3.7 - 2.3.33, 2.5 - 2.5.12

Összefoglaló

Az Apache Struts egy kritikus, egy közepes és egy alacsony kockázati besorolású sérülékenysége vált ismertté, amelyek a gyártó által kiadott legújabb biztonsági frissítéssel kiküszöbölhetők.

Leírás

Az XStream kezelővel használt REST Plugin hibáját kihasználva a támadónak lehetősége van tetszőleges kódot futtatni a célrendszeren, amikor a program az XML adatok deszerializálását végzi. [CVE-2017-9805] – Kritikus

A távoli felhasználók speciálisan kialakított XML adatokat küldhetnek a REST Plugin elavult XStream könyvtárába, ezáltal ott hiba generálódik, amellyel szolgáltatás-megtagadás (DoS) idézhető elő. [CVE-2017-9793] – Közepes

Amennyiben egy beépített URLValidator-ral használt alkalmazás engedélyezi az URL-ek form mezőbe illesztését, egy speciálisan megszerkesztett URL segítségével a kiszolgáló túlterhelése érhető el, és ezzel szolgáltatás-megtagadás idézhető elő. [CVE-2017-9804] – Alacsony

Megoldás

Frissítsen a legújabb verzióra

Megoldás

A hibák a következő verziókban javításra kerültek: 2.3.34, 2.5.13