Af Nicolai Devantier, 07/11/18
Apache Struts er et open source rammeværk til udvikling af Java-baserede web-applikationer.
Hvis den opdagede sårbarhed udnyttes, kan den åbne for afvikling af ekstern, ondsindet kode i sammenhæng med de berørte applikationer.
Afhængig af hvilke rettigheder, der er associeret med applikationen, kan en angriber installere programmer, slette data eller oprette nye konti.
Mislykket udnyttelse kan resultere i en denail-of-service-lignede tilstand.
Det er Apache Struts version 2.3.36 og tidligere, der er berørt af problemet. Det anbefales, at man opdaterer til en sikker version.
Anbefaling:
Opdater altid dine applikationer til den nyeste version fra producenten. Benyt så få rettigheder, som det er muligt.
Links:
- A Vulnerability in Apache Struts Could Allow for Remote Code Execution, advarsel fra CI Security.
- Immediately upgrade commons-fileupload to version 1.3.3 when running Struts 2.3.36 or prior, information fra Apache.
- Apache Commons FileUpload DiskFileItem File Manipulation Remote Code Execution, information fra Apache.
- Information fra SANS ISC InfoSec Forums.