Apache Struts -sovelluskehyksessä haavoittuvuus

Apache Struts -sovelluskehyksestä on löydetty haavoittuvuus, joka mahdollistaa haitallisen ohjelmakoodin suorittamisen kohdejärjestelmässä. Kyberturvallisuuskeskuksen arvion mukaan haavoittuvuuden hyödyntäminen lähitulevaisuudessa on todennäköistä, joten haavoittuvat asennukset on syytä päivittää viipymättä.

Apache Struts on avoimen lähdekoodin sovelluskehys Java EE web-sovellusten kehitykseen. Sovelluskehyksen ydinkomponenteista on löydetty haavoittuvuus, joka mahdollistaa kohdejärjestelmän haltuunoton.

Haavoittuvuutta hyödyntävä hyväksikäyttökoodi on julkisesti saatavilla.

Haavoittuvuuden kohde

Struts 2.3 - Struts 2.3.34
Struts 2.5 - Struts 2.5.16
Struts-ohjelmiston tuen piiristä poistuneet versiot voivat myös olla haavoittuvia

Mistä on kysymys?

Päivitä Apache Struts versioon 2.3.35 tai 2.5.17 valmistajan ohjeiden mukaisesti.

Mitä voin tehdä?

CVE-2018-11776
https://thehackernews.com/2018/08/apache-struts-vulnerability.html
https://cwiki.apache.org/confluence/display/WW/S2-057
https://semmle.com/news/apache-struts-CVE-2018-11776
https://lgtm.com/blog/apache_struts_CVE-2018-11776