Apache Struts sérülékenységek

CH azonosító

CH-14316

Angol cím

Apache Struts vulnerabilities

Felfedezés dátuma

2017.11.30.

Súlyosság

Magas

Érintett rendszerek

Apache Software Foundation
Apache Struts

Érintett verziók

Apache Struts 2.5 - 2.5.14

Összefoglaló

Az Apache Struts legújabb verziójában  olyan biztonsági sebezhetőségeket javítottak, amelyeket kihasználva egy támadó – módosított JSON fájl segítségével – szolgáltatás-megtagadásos támadást tud végrehajtani, valamint lehetősége nyílhat tetszőleges kód futtatására.


Leírás

Az Apache Struts  2.5.14.1 verziójában két biztonsági sebezhetőséget javítottak. Az első esetben rosszindulatú JSON fájlokkal szolgáltatás-megtagadásos támadást lehet végrehajtani. A második sebezhetőség az ObjectMapper readValue() függvényét érinti, melynek kihasználásával távolról is lehetséges tetszőleges kódot futtatni a célrendszeren.

Megoldás

Frissítsen a legújabb verzióra

Megoldás

A javított Apache Struts elérhetősége:

https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.14.1


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2024-20439 – Cisco Smart Licensing Utility Static Credential sebezhetősége
CVE-2025-22228 – Spring Security BCryptPasswordEncoder sebezhetősége
CVE-2025-26630 – Microsoft Access RCE sebezhetősége
CVE-2025-30154 – reviewdog/action-setup GitHub Action Embedded Malicious Code sebezhetősége
CVE-2025-30066 – tj-actions/changed-files GitHub Action Embedded Malicious Code sebezhetősége
CVE-2025-24472 – Fortinet FortiOS and FortiProxy Authentication Bypass sebezhetősége
CVE-2017-12637 – SAP NetWeaver Directory Traversal sebezhetősége
CVE-2024-48248 – NAKIVO Backup and Replication Absolute Path Traversal sebezhetősége
CVE-2025-1316 – Edimax IC-7100 IP Camera OS Command Injection sebezhetősége
Tovább a sérülékenységekhez »