Apache Struts XWork “ParameterInterceptor” sérülékenység

CH azonosító

CH-3320

Felfedezés dátuma

2010.07.12.

Súlyosság

Magas

Érintett rendszerek

Apache Software Foundation
Apache Struts

Érintett verziók

Apache Struts 2.x

Összefoglaló

Az Apache Struts olyan sérülékenységét jelentették, amelyet a támadók kihasználva megkerülhetnek bizonyos biztonsági korlátokat.

Leírás

A sérülékenységet az XWork egy hibája okozza, amelyet kihasználva szerver oldali objektumokat lehet módosítani és például tetszőleges parancsokat lehet futtatni egy speciálisan megszerkesztett OGNL (Object-Graph Navigation Language) kifejezések segítségével.

Megoldás

Az SVN-ben már javításra került.