Sårbarhet i Apache Struts

Publisert: 12.07.2017

Sårbarheten anses som alvorlig og kan, hvis utnyttet, gi en uautentisert angriper muligheten til å kjøre vilkårlig kode på Apache Struts-tjeneren.

Det er en sårbarhet i Java MVC-rammeverket Apache Struts.

Sårbarheten skal skyldes at usaniterte meldinger kan brukes som input til ActionMessage-feltet i Struts 1 plugin. Sårbarheten anses som alvorlig og kan, hvis utnyttet, gi en uautentisert angriper muligheten til å kjøre vilkårlig kode på Apache Struts-tjeneren.

Apache melder at sårbarheten er tilstede i versjoner 2.3.x. av Apache Struts.

En sikkerhetsoppdatering er ikke gjort tilgjengelig, men Apache offentligjorde tirsdag anbefalte tiltak som skal hindre utnyttelse av sårbarheten [1].

NorCERT anbefaler systemansvarlige for instanser av produkter som benytter Apache Struts å ta kontakt med utviklerne av disse for å undersøke om deres programvare er sårbar.

Det rapporteres om proof-of-concept-kode for utnyttelse av sårbarheten på internett, men NorCERT er ikke kjent med aktiv utnyttelse av sårbarheten i Norge.

Ved spørsmål er NorCERT tilgjengelig 24/7 på e-post og telefon: 02497.

  1. http://struts.apache.org/docs/s2-048.html