Команда Apache Struts предупредила о новых уязвимостях во фреймворке — yo-robot.ru

Apache Struts RCE DoS уязвимость

Одна из уязвимостей может использоваться для удаленного выполнения кода.

Команда Apache Struts опубликовала предупреждение касательно двух опасных уязвимостей , одна из которых может использоваться для удаленного выполнения кода, а другая — в целях осуществления DoS-атаки.

Первая уязвимость (CVE-2019-0230) связана с механизмом OGNL, проявляется при проведении Struts проверки вводимых пользователем данных в атрибутах тегов. Уязвимость может быть проэксплуатирована путем внедрения вредоносных OGNL выражений в атрибут, используемый в OGNL выражении. Эксплуатация проблемы предоставляет возможность удаленного выполнения кода.

Вторая проблема (CVE-2019-0233) представляет собой уязвимость отказа в обслуживании, которая может использоваться для манипулирования разрешением доступа во время загрузки файла. Например, атакующий может модифицировать запрос во время загрузки файла и установить доступ только для чтения, что сделает невозможными дальнейшие действия с файлом.

Обе уязвимости затрагивают версии Apache Struts с 2.0.0 по 2.5.20. Учитывая, что в конце минувшей недели на GitHub были опубликованы PoC-эксплоиты для указанных уязвимостей (на момент написания новости страница недоступна), пользователям настоятельно рекомендуется обновиться до версии 2.5.22, исправляющей проблемы.

Apache Struts — фреймворк с открытым исходным кодом для создания Java EE web-приложений.

OGNL (Object-Graph Navigation Language) — язык выражений для манипуляции с данными.

Источник: securitylab.ru

Вы можете оставить комментарий, или ссылку на Ваш сайт.


Оставить комментарий

Вы должны войти, чтобы иметь возможность оставлять комментарии.