CH azonosító
CH-6049Angol cím
Struts2 SessionAware / RequestAware Session Manipulation WeaknessFelfedezés dátuma
2011.12.06.Súlyosság
AlacsonyÖsszefoglaló
Az Apache Struts sérülékenysége vált ismertté, amelyet kihasználva a támadók megkerülhetnek bizonyos biztonsági szabályokat.
Leírás
A sérülékenységet az okozza, hogy az org.apache.struts2.interceptor.SessionAware és az org.apache.struts2.interceptor.RequestAware interfészek nem blokkolják a munkamenet térképhez történő hozzáférést, amelyet kihasználva a munkamenet térkép megváltoztatható egy speciális kérést küldve az alkalmazásnak a fenti interfészek auto-binding-gal történő használata esetén.
Megoldás
Adja a ‘session’-t a figyelmen kívül hagyott paraméterek listájához.
Támadás típusa
Security bypass (Biztonsági szabályok megkerülése)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: issues.apache.org
Gyártói referencia: issues.apache.org
SECUNIA 47109
