Vulnerabilidade de execução remota de código no Apache Struts 2.x resolvida na atualização

Segurança / Vulnerabilidade de execução remota de código no Apache Struts 2.x resolvida na atualização 1 minuto lido

Apache Struts



Em um comunicado publicado no site Confluence mantido pela comunidade ASF, uma vulnerabilidade de execução remota de código no Apache Struts 2.x foi descoberta e elaborada por Yasser Zamani. A descoberta foi feita por Man Yue Mo, da equipe de pesquisa da Semmle Security. Desde então, a vulnerabilidade recebeu o rótulo CVE-2018-11776. Ele afeta as versões 2.3 a 2.3.34 e 2.5 a 2.5.16 do Apache Struts com possíveis oportunidades de exploração de execução remota de código.

Esta vulnerabilidade surge quando os resultados sem namespace são usados ​​enquanto suas ações superiores não têm nenhum namespace ou têm namespace curinga. Essa vulnerabilidade também surge do uso de tags de URL sem valores e ações definidos.



Uma solução alternativa é sugerida no consultivo para atenuar esta vulnerabilidade que exige que os usuários garantam que o namespace seja sempre definido sem falhas para todos os resultados definidos nas configurações subjacentes. Além disso, os usuários também devem garantir que sempre definam valores e ações para tags de URL, respectivamente, sem falhas em seus JSPs. Essas coisas precisam ser consideradas e garantidas quando o namespace superior não existe ou existe como um caractere curinga.



Embora o fornecedor tenha descrito que as versões no intervalo de 2.3 a 2.3.34 e 2.5 a 2.5.16 são afetadas, eles também acreditam que as versões do Struts sem suporte também podem correr o risco desta vulnerabilidade. Para versões suportadas do Apache Struts, o fornecedor lançou a versão Apache Struts 2.3.35 para vulnerabilidades da versão 2.3.x, e lançou a versão 2.5.17 para vulnerabilidades da versão 2.5.x. Os usuários são solicitados a atualizar para as respectivas versões para evitar o risco de exploração. A vulnerabilidade é classificada como crítica e, portanto, uma ação imediata é necessária.



Além da mera correção dessas possíveis vulnerabilidades de execução remota de código, as atualizações também contêm algumas outras atualizações de segurança que foram lançadas de uma só vez. Problemas de compatibilidade com versões anteriores não são esperados, pois outras atualizações diversas não fazem parte das versões do pacote lançadas.