Команда Apache Struts предупредила о новых уязвимостях во фреймворке

Пн 17 Август 2020 09:43

Команда Apache Struts опубликовала предупреждение касательно двух опасных уязвимостей , одна из которых может использоваться для удаленного выполнения кода, а другая - в целях осуществления DoS-атаки.

Первая уязвимость (CVE-2019-0230) связана с механизмом OGNL, проявляется при проведении Struts проверки вводимых пользователем данных в атрибутах тегов. Уязвимость может быть проэксплуатирована путем внедрения вредоносных OGNL выражений в атрибут, используемый в OGNL выражении. Эксплуатация проблемы предоставляет возможность удаленного выполнения кода.

Вторая проблема (CVE-2019-0233) представляет собой уязвимость отказа в обслуживании, которая может использоваться для манипулирования разрешением доступа во время загрузки файла. Например, атакующий может модифицировать запрос во время загрузки файла и установить доступ только для чтения, что сделает невозможными дальнейшие действия с файлом.

Обе уязвимости затрагивают версии Apache Struts с 2.0.0 по 2.5.20. Учитывая, что в конце минувшей недели на GitHub были опубликованы PoC-эксплоиты для указанных уязвимостей (на момент написания новости страница недоступна), пользователям настоятельно рекомендуется обновиться до версии 2.5.22, исправляющей проблемы.

Apache Struts - фреймворк с открытым исходным кодом для создания Java EE web-приложений.

OGNL (Object-Graph Navigation Language) - язык выражений для манипуляции с данными.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 14 лет 211 дней 8 часов 15 минут 21 секунда
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.